Dokumentacja ochrony danych osobowych IIILO Kalisz

Transkrypt

Dokumentacja ochrony danych osobowych
III Liceum Ogólnokształcące im. Mikołaja Kopernika, Kalisz
Spis treści
1. Wprowadzenie ............................................................................. 3
2. Podstawy prawne ........................................................................... 4
2.1. Ustawa oraz akty wykonawcze .................................................................. 4
2.2. Definicje ................................................................................ 4
3. Najważniejsze zagadnienia ochrony danych osobowych ............................................ 6
3.1. Generalny Inspektor Ochrony Danych Osobowych ..................................................... 6
3.2. Przetwarzanie danych ....................................................................... 7
3.3. Obowiązki informacyjne przy przetwarzaniu danych .................................................... 8
3.4. Obowiązek zgłaszania przetwarzanych danych ....................................................... 9
3.5. Powierzenie przetwarzania danych .............................................................. 10
3.6. Prawa osób, których dane dotyczą .............................................................. 10
3.7. Przekazywanie danych do państwa trzeciego ....................................................... 11
3.8. Dokumentowanie ......................................................................... 12
3.9. Sankcje karne ........................................................................... 13
4. Zagrożenia bezpieczeństwa .................................................................. 14
4.1. Charakterystyka możliwych zagrożeń ............................................................ 14
4.2. Lista potencjalnych zagrożeń przetwarzania danych ................................................... 14
5. Polityka bezpieczeństwa .................................................................... 16
5.1. Deklaracja .............................................................................. 16
5.2. Wykaz zbiorów osobowych ................................................................... 16
5.3. Wykaz miejsc przetwarzania .................................................................. 16
5.4. Opis struktury zbiorów osobowych .............................................................. 16
5.5. Sposób przepływu danych pomiędzy systemami ..................................................... 17
5.6. Ewidencja osób upoważnionych ................................................................ 17
5.7. Środki organizacyjne ochrony danych osobowych .................................................... 17
5.8. Środki techniczne - ochrona fizyczna ............................................................. 18
5.9. Środki techniczne - infrastruktura informatyczna ..................................................... 19
5.10. Środki techniczne - programy i bazy danych ....................................................... 19
5.11. Zadania Administratora bezpieczeństwa informacji ................................................... 20
5.12. Zadania Administratora systemu informatycznego ................................................... 21
6. Instrukcja zarządzania systemem informatycznym ................................................
6.1. Charakterystyka systemu ....................................................................
6.2. Ogólne zasady pracy w systemie informatycznym ....................................................
6.3. Procedury nadawania uprawnień ...............................................................
6.4. Stosowane metody i środki uwierzytelniania ........................................................
6.5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy ...............................................
6.6. Procedury tworzenia kopii awaryjnych ...........................................................
6.7. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji ..................................
6.8. Sposób zabezpieczenia systemu przed wirusami .....................................................
6.9. Informacje o odbiorcach danych ................................................................
6.10. Przesyłanie danych poza obszar przetwarzania .....................................................
6.11. Procedury wykonywania przeglądów i konserwacji ...................................................
7. Załącznik nr 1 .............................................................................
8. Załącznik nr 2 .............................................................................
9. Załącznik nr 3 .............................................................................
generator: abiexpert.pl
2 / 41
22
22
22
22
23
23
24
25
25
25
26
26
27
36
37
1. Wprowadzenie
Celem niniejszego dokumentu jest opisanie zasad ochrony danych osobowych oraz dostarczenie podstawowej wiedzy z
zakresu ich przetwarzania.
W celu zwiększenia świadomości obowiązków i odpowiedzialności pracowników, a tym samym skuteczności ochrony
przetwarzanych zasobów, w dokumencie opisano podstawy prawne przetwarzania danych osobowych oraz scharakteryzowano
zagrożenia bezpieczeństwa, podając jednocześnie schematy postępowań na wypadek wystąpienia naruszenia bezpieczeństwa.
Dokument szczegółowo opisuje podstawowe zasady organizacji pracy przy zbiorach osobowych przetwarzanych metodami
tradycyjnymi oraz w systemie informatycznym wyrażone w Polityce bezpieczeństwa oraz w Instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych.
Wszelkie zestawienia uzupełniające treść dokumentu zebrano w postaci załączników. Do najważniejszych należy ewidencja
zbiorów osobowych, miejsc ich przetwarzania oraz osób upoważnionych do przetwarzania danych, a także lista środków
organizacyjnych i technicznych służących bezpieczeństwu danych.
3 / 41
2. Podstawy prawne
Poniżej opisano aktualne przepisy prawne w zakresie ochrony danych osobowych oraz wybrane, najważniejsze definicje i
terminy.
2.1. Ustawa oraz akty wykonawcze
Przepisy ochrony danych osobowych zawarte są w ustawie o ochronie danych osobowych oraz wydanych do niej aktach
wykonawczych. Pełną listę aktów prawnych stanowią:
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2014 r. poz. 1182 i 1662),
Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie nadania statutu Biuru
Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006 r., Nr 203, poz. 1494) – art. 13.3 ustawy,
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego
upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z
2004 r. Nr 94, poz. 923) – art. 22a ustawy,
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) –
art. 39a ustawy,
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia
zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz.
1536) – art. 46a ustawy,
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i
odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934) art. 46f ustawy.
Niniejszy dokument powstał w oparciu o art. 36. ust. 2. oraz art. 39a ustawy o ochronie danych osobowych, które zobowiązują
Administratora danych do wykonania dokumentacji opisującej środki organizacyjne i techniczne służące ochronie
przetwarzanych danych osobowych.
Szczegółowy zakres dokumentu określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wydane do art. 39a ustawy.
2.2. Definicje
W dokumencie przyjmuje się następującą terminologię:
Generalny Inspektor Ochrony Danych Osobowych – organ do spraw ochrony danych osobowych.
Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej
tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo
jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub
społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych
kosztów, czasu lub działań.
Dane wrażliwe - dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub
filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a
także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Administrator danych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach
4 / 41
przetwarzania danych osobowych.
Administrator bezpieczeństwa informacji (ABI) – osoba nadzorująca stosowanie środków technicznych i organizacyjnych
przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. ABI jest powoływany
przez ADO.
Administrator systemu informatycznego (ASI) – osoba lub osoby odpowiedzialna/e za prawidłowe funkcjonowanie systemu
informatycznego. ASI jest powoływany przez ADO.
Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych
kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych.
System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi
programowych zastosowanych w celu przetwarzania danych.
Zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatacja stosownych środków technicznych i
organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
Zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego,
kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda może
być odwołana w każdym czasie.
Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną
do przetwarzania danych osobowych w systemie informatycznym.
Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
Rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu
podmiotowi.
Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób
nieautoryzowany.
Poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.
Dokumentacja przetwarzania danych – dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki
techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii
danych objętych ochroną, określoną w przepisach wydanych na podstawie art. 39a ustawy.
Sprawdzenie – czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie
danych osobowych, w szczególności w wyniku zwrócenia się o dokonanie sprawdzenia przez Generalnego Inspektora Ochrony
Danych Osobowych, zwanego dalej „Generalnym Inspektorem”.
Sprawozdanie – dokument zawierający elementy określone w art. 36c ustawy, opracowany przez administratora
bezpieczeństwa informacji po dokonaniu sprawdzenia, którego celem jest zweryfikowanie zgodności przetwarzania
danych osobowych z przepisami o ochronie danych osobowych.
Państwo trzecie - rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego.
5 / 41
3. Najważniejsze zagadnienia ochrony danych osobowych
3.1. Generalny Inspektor Ochrony Danych Osobowych
Zadania GIODO
Do zadań GIODO należy:
kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych
osobowych,
zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydanych
decyzji przez zastosowanie środków egzekucyjnych przewidzianych w ustawie z 17 czerwca 1966 r. o postępowaniu
egzekucyjnym w administracji,
prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także
udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa
informacji,
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych
osobowych.
Kontrole GIODO
W celu wykonania w/w zadań Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy
Biura, zwani dalej „inspektorami”, mają prawo:
wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji służbowej, do
pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza
zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności
przetwarzania danych z ustawą,
żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do
ustalenia stanu faktycznego,
wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz
sporządzania ich kopii,
przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
zlecać sporządzanie ekspertyz i opinii.
Inne uprawnienia GIODO
Generalny Inspektor może zwrócić się do ABI wpisanego do rejestru, o którym mowa w art. 46c ustawy, o dokonanie
sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, ustawy u ADO, który go powołał, wskazując zakres i termin
sprawdzenia.
Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a ustawy, ABI za pośrednictwem ADO,
przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a ustawy.
Dokonanie przez ABI sprawdzenia w przypadku, o którym mowa wyżej, nie wyłącza prawa Generalnego Inspektora do
przeprowadzenia kontroli, o której mowa w art. 12 pkt 1 ustawy.
6 / 41
Działania GIODO w przypadku naruszenie przepisów
W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby
zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
usunięcie uchybień,
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
wstrzymanie przekazywania danych osobowych do państwa trzeciego,
zabezpieczenie danych lub przekazanie ich innym podmiotom,
usunięcie danych osobowych.
W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej
będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do
organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące
podejrzenie.
3.2. Przetwarzanie danych
Przetwarzanie danych jest dopuszczalne tylko wtedy gdy:
Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zgoda może
obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Zgoda nie może być
domniemana lub dorozumiana. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby,
której dane dotyczą, a uzyskanie zgody nie jest możliwie, można przetwarzać dane bez zgody tej osoby, do czasu, gdy
uzyskanie zgody będzie możliwe.
Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Administratora danych
albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie
usprawiedliwiony cel uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora
danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Przetwarzanie danych jest zabronione w przypadku danych ujawniających pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o
stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i
mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie tych
danych jest jednak dopuszczalne, jeżeli:
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
przepis szczególny innej ustawy zezwalana przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i
stwarza pełne gwarancje ich ochrony,
przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia
opiekuna prawnego lub kuratora,
jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń,
fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych
7 / 41
lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji
albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony
przetwarzanych danych,
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów
przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem
usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania
dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może
następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z
orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
3.3. Obowiązki informacyjne przy przetwarzaniu danych
Zbieranie danych osobowych od osób, których dane dotyczą.
W przypadku zbierania danych od osoby, której te dane dotyczą Administrator danych jest zobowiązany poinformować tę osobę
o:
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy Administratorem danych jest osoba fizyczna - o miejscu
swojego zamieszkania oraz imieniu i nazwisku,
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach
lub kategoriach odbiorców danych,
prawie dostępu do treści swoich danych oraz ich poprawiania,
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Podanych wyżej zasad nie stosuje się, jeżeli przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania
faktycznego celu ich zbierania lub jeżeli osoba, której dane dotyczą, posiada już te informacje.
Zbieranie danych osobowych nie od osób, których dane dotyczą.
W przypadku zbierania danych nie od osoby, której te dane dotyczą Administrator danych jest zobowiązany poinformować tę
osobę bezpośrednio po utrwaleniu danych o:
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu
swojego zamieszkania oraz imieniu i nazwisku,
celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
źródle danych,
prawie dostępu do treści swoich danych oraz ich poprawiania,
prawie wniesienia, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej
szczególną sytuację,
8 / 41
prawie wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy Administrator danych zamierza je
przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi
danych.
Podanych wyżej zasad nie stosuje się, jeżeli:
dane są przetwarzane przez administratora na podstawie przepisów prawa,
przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej,
ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie obowiązku informacyjnego
wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania.
3.4. Obowiązek zgłaszania przetwarzanych danych
Administrator danych jest obowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych
Osobowych oraz zgłaszać zmiany w terminie 30 dni. Zgłoszenie powinno zawierać:
wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
oznaczenie Administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru
podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia
zbioru, a w przypadku powierzenia przetwarzania danych innemu podmiotowi lub wyznaczenia przedstawiciela
Administratora danych o którym mowa w art. 31a ustawy, oznaczenie tego podmiotu danych i adres jego siedziby lub
miejsca zamieszkania,
cel przetwarzania danych, w tym opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych, w tym informację o odbiorcach lub kategoriach odbiorców, którym dane
mogą być przekazywane,
opis środków technicznych i organizacyjnych zastosowanych w celach ochrony danych,
informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w dokumentacji ochrony
danych osobowych,
informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Z obowiązku rejestracji zwolnieni są Administratorzy danych:
zawierających informacje niejawne,
które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych
do tych czynności,
przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym
Rejestrze Karnym oraz przetwarzanych przez Generalnego Inspektora Informacji Finansowej, a także przetwarzanych
przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz
Systemie Informacji Wizowej,
dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a
także dotyczących osób u nich zrzeszonych lub uczących się,
dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika
patentowego, doradcy podatkowego lub biegłego rewidenta,
tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad
9 / 41
powiatów i sejmików województw, wyborów na Urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza,
prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego
aresztowania lub kary pozbawienia wolności,
przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
powszechnie dostępnych,
przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub
stopnia naukowego,
przetwarzanych w zakresie drobnych bieżących spraw życia codziennego,
przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów
zawierających dane, o których mowa w art. 27 ust. 1. (danych wrażliwych).
Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1,
nie podlega także Administrator danych, który powołał Administratora bezpieczeństwa informacji i zgłosił go Generalnemu
Inspektorowi do rejestracji.
3.5. Powierzenie przetwarzania danych
W przypadku konieczności przetwarzania danych przez odrębne podmioty świadczące usługi dla Administratora danych może
on powierzyć ich przetwarzanie, w drodze umowy zawartej na piśmie, pod następującymi warunkami:
umowa powinna być zawarta niezależnie od posiadanej umowy określającej relacje obu stron,
Podmiot, któremu powierzono przetwarzanie danych, może przetwarzać je wyłącznie w zakresie i celu przewidzianym w
umowie,
Podmiot, któremu powierzono przetwarzanie danych, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć
środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy oraz spełnić wymagania określone w
przepisach, o których mowa w art.39a ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi
odpowiedzialność jak administrator danych,
odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na Administratorze danych, co nie wyłącza
odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
Do kontroli zgodności przetwarzania danych przez podmiot, któremu powierzono przetwarzanie danych, z przepisami o
ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19 ustawy.
3.6. Prawa osób, których dane dotyczą
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a
zwłaszcza prawo do:
1. Uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego
siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz
imienia i nazwiska.
2. Uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze.
3. Uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej
formie treści tych danych.
4. Uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany
10 / 41
do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej.
5. Uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach
odbiorców, którym dane te są udostępniane.
6. Uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 ustawy.
7. Żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich
przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z
naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.
8. Wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania
przetwarzania jej danych ze względu na jej szczególną sytuację.
9. Wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy
administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych
osobowych innemu administratorowi danych.
10. Wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z
naruszeniem art. 26a ust. 1.
W przypadku wniesienia żądania, o którym mowa w pkt 8, ADO zaprzestaje przetwarzania kwestionowanych danych
osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję.
W razie wniesienia sprzeciwu, o którym mowa pkt 9, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. ADO
może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia
ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
W razie wniesienia żądania, o którym mowa w pkt 10, ADO bez zbędnej zwłoki rozpatruje sprawę albo przekazuje ją wraz z
uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje stosowną decyzję.
Jeżeli, dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, ADO może
odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady
niewspółmierne z zamierzonym celem.
Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa pkt 1-5, nie częściej niż raz na 6 miesięcy.
Na wniosek osoby, której dane dotyczą, ADO jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach
oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w pkt 1-6.
Na wniosek osoby, której dane dotyczą, informacji udziela się na piśmie.
Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w pkt 1-6, jeżeli
spowodowałoby to:
ujawnienie wiadomości zawierających informacje niejawne,
zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku
publicznego,
zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
3.7. Przekazywanie danych do państwa trzeciego
Przekazanie danych osobowych do państwa trzeciego (poza Europejski Obszar Gospodarczy) może nastąpić, jeżeli państwo
docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych, za wyjątkiem sytuacji wynikających z
obowiązku nałożonego na ADO przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi
11 / 41
odpowiedni poziom ochrony tych danych.
ADO może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
1. Osoba, której dane dotyczą, udzieliła na to zgody na piśmie.
2. Przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub
jest podejmowane na jej życzenie.
3. Przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy
administratorem danych a innym podmiotem.
4. Przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych.
5. Przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, 6) dane są ogólnie dostępne.
W pozostałych przypadkach przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium
odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody GIODO, wydanej w drodze decyzji
administracyjnej, pod warunkiem, że ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i
wolności osoby, której dane dotyczą.
Zgoda GIODO nie jest wymagana, jeżeli ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw
i wolności osoby, której dane dotyczą, przez:
1. Standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26
ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z
23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub,
2. Prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które
zostały zatwierdzone przez GIODO.
3.8. Dokumentowanie
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych
danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien
zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Ponadto, Administrator danych:
prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki organizacyjne i techniczne służące
ochronie danych,
wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony chyba, że sam
wykonuje te czynności,
nadaje upoważnienia do przetwarzania danych i dopuszcza do pracy wyłącznie osoby posiadające takie
upoważnienie,
zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są
przekazywane,
prowadzi ewidencję osób upoważnionych do ich przetwarzania, która zawiera: imię i nazwisko osoby
upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także
identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w
drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji opisującej ochronę danych oraz podstawowe warunki
techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii
danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa
12 / 41
przetwarzanych danych.
3.9. Sankcje karne
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania
nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn
ten dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub
filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do
lat 3.
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia
dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do roku.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę
nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku.
Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej
prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Kto inspektorowi GIODO udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
Wobec osoby, która w przypadku naruszenia zasad bezpieczeństwa lub uzasadnionego domniemania takiego
naruszenia nie podjęła działania określonych w niniejszej dokumentacji, a w szczególności nie powiadomiła
odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania
dokumentującego ten przypadek, wszczyna się postępowanie dyscyplinarne.
Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane
jako ciężkie naruszenie obowiązków pracowniczych.
Orzeczona kara dyscyplinarna nie wyklucza odpowiedzialności karnej osoby winnej zgodnie z ustawą oraz
możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie
poniesionych strat.
13 / 41
4. Zagrożenia bezpieczeństwa
W rozdziale scharaketryzowano możliwe do wystąpienia zagrożenia bezpieczeństwa.
4.1. Charakterystyka możliwych zagrożeń
Zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), których występowanie może prowadzić do
utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu.
Zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki przetwarzających dane, pozostawienie danych lub
pomieszczeń bez nadzoru, błędy operatorów systemu, awarie sprzętowe, błędy oprogramowania), przy których może
dojść do zniszczenia danych lub naruszenia ich poufności.
Zagrożenia zamierzone, świadome i celowe - najpoważniejsze zagrożenia, gdzie występuje naruszenia poufności
danych. Zagrożenia te możemy podzielić na: nieuprawniony dostęp z zewnątrz (włamanie), nieuprawniony dostęp do
danych w wewnątrz (przez osoby nieuprawnione).
4.2. Lista potencjalnych zagrożeń przetwarzania danych
Poniżej przedstawiono listy potencjalnych zagrożeń bezpieczeństwa danych z podziałem na zagrożenia miejsc przetwarzania
oraz rodzajów danych, tj. zbiorów przetwarzanych tradycyjnie (papierowo) oraz z wykorzystaniem systemów informatycznych.
W każdym przypadku, w sytuacji stwierdzenia wystąpienia któregokolwiek z zagrożeń należy niezwłocznie powiadomić
Administratora danych.
1. Zagrożenia miejsc przetwarzania danych.
Włamania od strony okien – wybite szyby, niedomknięte skrzydła.
Włamania od strony drzwi – zerwane plomby, uszkodzone klamki, źle działające zamki, niedomknięte drzwi, ślady po
narzędziach.
Oddziaływanie czynników zewnętrznych – wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana.
Pozostawienie niezamkniętych drzwi lub okien – jeżeli w pomieszczeniu nie pozostają osoby uprawnione do
przetwarzania danych.
Pozostawienie bez nadzoru osób nieuprawnionych do przebywania w pomieszczeniach.
2.Zagrożenia związane z przetwarzaniem danych papierowych.
Pozostawienie danych na biurkach, półkach, regałach, itp. po zakończeniu pracy.
Pozostawienie dokumentów zawierających dane osobowe w kserokopiarce lub skanerze.
Pozostawienie po zakończeniu pracy otwartych szaf, w których gromadzone są dane osobowe.
Przechowywanie dokumentów w miejscach do tego nieprzeznaczonych.
Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie.
Przetwarzanie danych przez osoby nieuprawione.
Nieuzasadnione sporządzanie kserokopii danych.
3. Zagrożenia związane z przetwarzaniem danych elektronicznych.
Dopuszczenie zapisywania na nośniki zewnętrzne wynoszone poza obszar przetwarzania lub przesyłanie poprzez
Internet danych niezaszyfrowanych.
14 / 41
Dopuszczanie do nieuzasadnionego kopiowania dokumentów i utraty kontroli nad kopią.
Sporządzanie kopii danych w sytuacjach nie przewidzianych procedurą.
Utrata kontroli nad kopią danych osobowych.
Podmiana lub zniszczenie nośników z danymi osobowymi.
Pozostawienie zapisanego hasła dostępu do bazy danych.
Samodzielne instalowanie jakiegokolwiek oprogramowania.
Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania.
Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych.
Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym.
Niezabezpieczenie komputera zasilaczem awaryjnym podtrzymującym napięcie na wypadek braku zasilania.
Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania osób nieuprawnionych.
Ujawnianie sposobu działania aplikacji oraz jej zabezpieczeń osobom niepowołanym.
Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej.
Dopuszczenie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe.
Pojawianie się komunikatów.
Awarie sprzętu i oprogramowania, które mogą wskazywać na działanie osób trzecich.
Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych.
Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych.
Próba nieuzasadnionego przeglądania danych w ramach pomocy technicznej.
Dopuszczanie, aby osoby inne niż ASI lub osoby przez ASI uprawnione, podłączały jakikolwiek urządzenia,
demontowały elementy sieci lub dokonywały innych manipulacji.
Ślady manipulacji przy układach sieci komputerowej lub komputerach.
Obecność nowych urządzeń i kabli o nieznanym przeznaczeniu i pochodzeniu.
Naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji.
15 / 41
5. Polityka bezpieczeństwa
Polityka bezpieczeństwa rozumiana jest jako wykaz praw, reguł i praktycznych doświadczeń regulujących sposób
zarządzania, ochrony i dystrybucji danych osobowych wewnątrz Placówki. Obejmuje całokształt zagadnień związanych z
problemem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie jak i w systemach informatycznych.
Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do
zapewnienia właściwej ochrony przetwarzanych danych osobowych.
5.1. Deklaracja
W celu zabezpieczenia danych osobowych przed nieuprawnionym udostępnieniem Administrator danych wprowadza określone
niniejszym dokumentem zasady przetwarzania danych. Zasady te określa w szczególności Polityka bezpieczeństwa oraz
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te są
uzupełniane załącznikami do dokumentacji, na które składają się m.in.: wykazy zbiorów, miejsc ich przetwarzania oraz osób
upoważnionych do przetwarzania danych.
W celu zapewnienia prawidłowego monitorowania przetwarzania danych wprowadza się liczne ewidencje, które szczegółowo
charakteryzują obszary objęte monitoringiem, umożliwiając pełną kontrolę nad tym, jakie dane i przez kogo są przetwarzane
oraz komu udostępniane.
Mając świadomość, iż żadne zabezpieczenie techniczne nie gwarantuje 100%-towej szczelności systemu, konieczne jest, aby
każdy pracownik upoważniony do przetwarzania danych pełen świadomej odpowiedzialności, postępował zgodnie z przyjętymi
zasadami i minimalizował zagrożenia wynikające z błędów ludzkich.
W trosce o czytelny i uporządkowany stan materii, wprowadza się stosowne środki organizacyjne i techniczne zapewniające
właściwą ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania
danych.
5.2. Wykaz zbiorów osobowych
Na podstawie § 4 pkt 2 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz zbiorów osobowych
wraz ze wskazaniem programów komputerowych służących do ich przetwarzania zgodnie z załącznikiem nr 1 do niniejszej
dokumentacji.
5.3. Wykaz miejsc przetwarzania
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz pomieszczeń tworzących
obszar fizyczny przetwarzania danych.
Szczegółowy wykaz bydynków czy pomieszczeń, w których przetwarzane są dane osobowe, stanowi załącznik nr 2 do
niniejszej dokumentacji.
5.4. Opis struktury zbiorów osobowych
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadza się do załącznika nr 1 opis
struktury poszczególnych zbiorów osobowych.
16 / 41
5.5. Sposób przepływu danych pomiędzy systemami
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, dla zbiorów przetwarzanych elektronicznie,
w przypadku przepływu danych pomiędzy systemami, wprowadza się opis zasad przepływu danych w załączniku nr 1.
5.6. Ewidencja osób upoważnionych
Zgodnie z art. 39 ust. 1 ustawy o ochronie danych osobowych wprowadza się ewidencję osób upoważnionych do przetwarzania
danych, która stanowi załącznik nr 3 do niniejszej dokumentacji.
Ewidencja stanowi podstawę wydania Upoważnienia do przetwarzania danych osobowych na mocy art. 37 ustawy o ochronie
danych osobowych.
5.7. Środki organizacyjne ochrony danych osobowych
W celu stworzenia właściwych zabezpieczeń, które powinny bezpośrednio oddziaływać na procesy przetwarzania danych,
Administrator danych wprowadza określone poniżej środki organizacyjne.
Przetwarzanie danych osobowych może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres
uprawnień wynika z zakresu tych zadań.
Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie. Podpisany
dokument jest dołączany do akt osobowych.
Unieważnienie upoważnienia następuje na piśmie.
Zabrania się przetwarzania danych poza obszarem określonym w załączniku nr 2 do niniejszej dokumentacji.
Każdy pracownik odbywa co 2-3 lata szkolenie z zakresu ochrony danych osobowych. Szkolenie może być wewnętrzne,
tj. prowadzone przez Administratora danych lub zewnętrzne przez firmy specjalistyczne. Nowo przyjęty pracownik
odbywa szkolenie prowadzone przez Administratora danych przed przystąpieniem do przetwarzania danych.
Ponadto każdy upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z niniejszą
dokumentacją i zrozumieniem wszystkich zasad bezpieczeństwa. Podpisany dokument jest dołączany do akt
osobowych.
Obszar przetwarzania danych osobowych określony w załączniku nr 2 do niniejszej dokumentacji, zabezpiecza się
przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych
osobowych.
Przebywanie osób, nieuprawnionych w w/w obszarze jest dopuszczalne za zgodą Administratora danych lub w
obecności osoby upoważnionej do przetwarzania danych osobowych.
Przebywanie w pomieszczeniach, w których przetwarzane są dane w postaci elektronicznej osób nie posiadających
upoważnienia jest dopuszczalne za zgodą Administratora danych.
Pomieszczenia stanowiące obszar przetwarzania danych powinny być zamykane na klucz.
Przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna oraz usunąć z
biurka wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach.
Nie należy dopuszczać osób nie mających uprawnień do danych osobowych do treści tych danych, np. pokazywanie
dokumentów.
Nie należy gromadzić w podręcznej dokumentacji danych osobowych. W wszystkie dane niezbędne do prawidłowej
17 / 41
pracy powinny znajdować się w zbiorach, zgodnie z prowadzoną ewidnecją. Jeżeli posiadane druki lub zestawienia są
niezbędne należy je zanonimizować (usunąć dane osobowe, np. adres, pesel, pozostawiając imiona).
Dokumenty zawierające dane osobowe należy niszczyć w specjalistycznych niszczarkach.
Każdorazowe zbieranie danych zgodnie z art. 24 oraz 25 ustawy o ochronie danych osobowych rodzi obowiązek
informacyjny. Obowiązek należy realizować umieszczając odpowiednią treść informacyjną pod formularzem z danymi.
Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd
osobom postronnym w przetwarzane dane.
Dokumenty w wersji elektronicznej, które zapisywane są na nośniki zewnętrzne, przenoszone poza obaszar
przetwarzania lub przesyłane pocztą elektroniczną, należy zabezpieczyć poprzez nadanie im haseł odczytu.
Zbiory osobowe przetwarzane elektronicznie należy zabezpieczać poprzez wykonywanie kopii bezpieczeństwa,
zapisywanych na zewnętrznych nośnikach i przechowywanych pod zamknięciem.
Komputery, które przetwarzają zbiory osobowe wyszczególnione w załączniku nr 1 do dokumentacji, za wyjątkiem
komputerów służących jedynie do edycji tekstu, należy wyposażyć w urządzenia podtrzymujące napięcie na wypadek
braku zasilania.
Pliki edytorów tekstu lub arkuszy kalkulacyjnych należy traktować jak kopie zbiorów, z których pochodzą przetwarzane w
nich dane i odpowiednio zabezpieczać stosując wytyczne zawarte w Instrukcji zarządzania systemem informatycznym
będącej częścią niniejszej dokumentacji.
W celu zapewnienia danych przetwarzanych elektronicznie należy zapewnić logowanie do systemu operacyjnego (np.
WINDOWS) oraz bezpośrednio do programów przetwarzających dane.
Szczegółowe zasady postępowania ze zbiorami przetwarzanymi elektronicznie określa Instrukcja zarządzania
systemem informatycznym będąca częścią niniejszej dokumentacji.
5.8. Środki techniczne - ochrona fizyczna
Potencjalne środki ochrony technicznej danych osobowych możliwie do systowania przez Administratora danych.
Ogólna ochrona budynku– alarm antywłamaniowy, monitoring wizyjny, całodobowy dozór służb ochrony, gaśnice lub
systemy p-poż.
Zabezpieczenia okien– pomieszczenia zlokalizowane na parterze lub wyższych kondygnacjach można dodatkowo
zabezpieczyć poprzez montaż krat, rolet lub szyb antywłamaniowych, zwłaszcza, jeśli istnieje do nich dostęp przez
tarasy, dachy niższych budynków, drabiny p-poż, itp.
Zabezpieczenie drzwi – w zależności od kategorii danych i zagrożeń można stosować drzwi tradycyjne zamykane na
klucz lub p-pożarowe, zaś w miejscach szczególnie narażonych na zagrożenia (drzwi wejściowe, sekretariaty,
księgowość, archiwa, itp.) należystosować drzwi antywłamaniowe.
Zabezpieczenia zbiorów tradycyjnych (papierowych) – w zależności od kategorii danych i zagrożeń do
przechowywania danych można stosować szafy tradycyjne zamykane na klucz, szafy metalowe lub sejfy (dla danych
szczególnie ważnych). Dane przeznaczone do zniszczenia należyniszczyć w specjalistycznych niszczarkach.
Zabezpieczenia zbiorów elektronicznych – dane elektroniczne należy zabezpieczyć poprzez wyposażenie
komputerów w zasilacze awaryjne podtrzymujące napięcie na wypadek braku zasilania oraz w systemy antywirusowe.
Kopie danych należy gromadzić w szafach metalowych lub sejfach ognioodpornych.
Rzeczywiste środki ochrony fizycznej stosowane przez Administratora danych.
W poniższej tabeli zestawiono sumarycznie dla wszystkich pomieszczeń zastosowane środki ochrony fizycznej. Szczegółowo
fizyczne zabezpieczenia zbiorów w poszczególnych pomieszczeniach znajdują się w załączniku nr 2.
18 / 41
Lp.
Środki ochrony fizycznej
1 Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie
przeciwpożarowymi).
2 Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na
włamanie - drzwi klasy C.
3 Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii
antywłamaniowej.
4 Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.
5 Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z
zastosowaniem kamer przemysłowych.
6 Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie.
7 Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie.
8 Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej.
9 Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
10 Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie.
11 Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej.
12 Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą
systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
13 Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek
dokumentów.
5.9. Środki techniczne - infrastruktura informatyczna
W poniższej tabeli zestawiono, sumarycznie dla wszystkich komputerów, zastosowane środki sprzętowe ochrony infrastruktury
informatycznej i telekomunikacyjnej.
Lp.
Ochrona w ramach infrastruktury informatycznej i telekomunikacyjnej
1 Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system
informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.
2 Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu
uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
3 Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu
systemów informatycznych.
4 Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł.
5 Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
6 Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
7 Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
8 Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamieci dyskowej.
9 Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
10 Użyto system Firewall do ochrony dostępu do sieci komputerowej.
11 Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.
5.10. Środki techniczne - programy i bazy danych
W poniższej tabeli zestawiono, sumarycznie dla wszystkich stosowanych baz daych, stosowane środki ochrony w ramach
narzędzi programowych i baz danych.
Lp.
Ochrona w ramach narzędzi programowych i baz danych
1 Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych
osobowych.
2 Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru
danych osobowych.
3 Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
4 Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej.
5 Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym
19 / 41
6
7
8
9
zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych.
Zastosowano kryptograficzne środki ochrony danych osobowych.
Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych
osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
5.11. Zadania Administratora bezpieczeństwa informacji
W przypadku kiedy Administrator danych nie wykonuje bezpośrednio nadzoru nad stosowaniem określonych środków
organizacyjnych i technicznych powołuje, zgodnie z art. 36a ust. 1 ustawy o ochronie danych osobowych, Administratora
bezpieczeństwa informacji i wyznacza mu następujące zadania:
1. Nadzór nad przetwarzaniem danych zgodnie z ustawą o ochronie danych osobowych i innymi przepisami prawa.
2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których
mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7
ustawy.
3. Udostępnianie rejestru, o którym mowa w pkt 2, na stronie internetowej ADO, przy czym na stronie głównej umieszcza
się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub udostępnienie każdemu zainteresowanemu rejestru na
stanowisku dostępowym w systemie informatycznym ADO znajdującym się w siedzibie ADO. W przypadku prowadzenia
rejestru w postaci papierowej, rejestr udostępnia się do wglądu każdemu zainteresowanemu w siedzibie ADO.
4. Opracowanie planu sprawdzeń określających przedmiot poszczególnych sprawdzeń, zakres czynności, które będą
podjęte w toku sprawdzenia oraz termin przeprowadzenia sprawdzenia.
5. Przedstawienie Administratorowi danych planu sprawdzeń nie później niż na miesiąc przed rozpoczęciem okresu
objętego planem, który to okres nie może być krótszy niż kwartał i dłuższy niż rok. Plan sprawdzeń obejmuje co najmniej
jedno sprawdzenie.
6. Przeprowadzenie sprawdzenia pozaplanowego niezwłocznie po powzięciu przez ABI, informacji o naruszeniu ochrony
danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia. Powiadomienie Administratora danych o
rozpoczęciu sprawdzenia pozaplanowego jeszcze przed podjęciem pierwszej czynności.
7. Przekazanie Administratorowi danych sprawozdania, o którym mowa w art. 36c ustawy:
ze sprawdzenia planowego – w terminie określonym w planie sprawdzeń, nie później niż w terminie 30 dni od
zakończenia sprawdzenia,
ze sprawdzenia pozaplanowego – niezwłoczne po zakończeniu sprawdzenia,
ze sprawdzenia, o którego dokonanie zwrócił się Generalny Inspektor – w terminie umożliwiającym zachowanie
przez administratora danych terminu wskazanego przez Generalnego Inspektora zgodnie z art. 19b ustawy.
8. Przechowywanie sprawozdania oraz dokumentów z nim związanych przez okres co najmniej pięciu lat od dnia ich
sporządzenia.
9. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych
osobowych.
10. Nadzór nad opracowaniem i aktualizacją dokumentacji przetwarzania danych, o której mowa w art. 36 ust. 2 ustawy oraz
przestrzeganie zasad w niej określonych.
11. W przypadku wykrycia podczas weryfikacji nieprawidłowości, ABI:
20 / 41
zawiadamia ADO o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz
działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w tym przedstawia wdrożenie
dokumentów usuwających stan niezgodności,
zawiadamia ADO o nieaktualności dokumentacji przetwarzania danych oraz przedstawia do wdrożenia
dokumenty aktualizujące,
poucza lub instruuje osoby nieprzestrzegające zasad określonych w dokumentacji przetwarzania danych
osobowych o prawidłowym sposobie ich realizacji lub zawiadamia ADO, wskazując osoby odpowiedzialne za
naruszenie tych zasad oraz jego zakres.
W przypadku kiedy ADO nie powołuje ABI wszystkie zapisy w dokumentacji, które odwołują się do ABI, za wyjątkiem w/w pkt 2,
5 i 6, są rozumiane jako zapisy dot. ADO. Dla realizacji tych zadań ADO może wskazać osoby wykonujące czynności lub
opracowujące dokumenty, o których mowa w niniejszej dokumentacji.
5.12. Zadania Administratora systemu informatycznego
Dla celów obsługi i zabezpieczenia systemu informatycznego Administrator danych może powołać Administratora systemu
informatycznego i wyznaczyć mu następujący zakres zadań:
prowadzenie monitoringu przetwarzania danych,
administrowanie systemem informatycznym,
nadawanie uprawnień użytkownikom,
stosowanie środków ochrony w ramach oprogramowania użytkowego, systemów operacyjnych, urządzeń
teletransmisyjnych, programów antywirusowych oraz ochrony sprzętowej,
kontrola mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz
kontrola dostępu do danych osobowych,
kontrola systemu antywirusowego,
kontrola awaryjnego zasilania komputerów,
kontrola i wykonywanie kopii awaryjnych,
konserwacja oraz uaktualnienia systemów informatycznych,
informowanie na bieżąco ADO o przypadkach awarii programowych wynikających z posługiwania się przez
użytkowników nieautoryzowanym oprogramowaniem, nie przestrzegania zasad używania programów antywirusowych,
niewłaściwego wykorzystywania sprzętu komputerowego,
przedstawianie Administratorowi danych, nie rzadziej niż raz na rok, kompleksowej analizy przetwarzania danych
osobowych w systemem informatycznym oraz ewentualne potrzeby w zakresie zabezpieczeń.
W szczególnych przypadkach, Administrator danych może powierzyć obowiązki ASI i ABI jednej osobie, która posiada
odpowiednie kwalifikacje. W takim przypadku wszystkie zapisy w dokumentacji, które odwołują się do ABI i ASI są rozumiane
jako zadania tej osoby.
W przypadku kiedy ADO nie powołuje ASI wszystkie zapisy w dokumentacji, które odwołują się do ASI są rozumiane jako
zapisy dot. ADO.
21 / 41
6. Instrukcja zarządzania systemem informatycznym
Na podstawie § 3.1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych opracowano Instrukcję zarządzania
systemem informatycznym służącym do przetwarzania danych osobowych.
6.1. Charakterystyka systemu
1. Sieć informatyczną, w której przetwarzane są dane osobowe stanowią wszystkie pracujące obecne i przyszłe serwery,
komputery stacjonarne i przenośne, a także urządzenia peryferyjne i sieciowe.
2. Sygnał internetowy dostarczany jest przez usługodawcę internetowego i odpowiednio zabezpieczony.
3. System zabezpieczony jest oprogramowaniem antywirusowym zainstalowanym na każdym stanowisku oraz zasilaczami
awaryjnymi utrzymującymi stałe zasilanie.
6.2. Ogólne zasady pracy w systemie informatycznym
1. ABI odpowiada za korygowanie niniejszej instrukcji w przypadku uzasadnionych zmian w przepisach prawnych
dotyczących przetwarzania danych osobowych w systemach informatycznych, jak również zmian
organizacyjno-funkcjonalnych.
2. Przetwarzanie danych w systemie informatycznym może być realizowane wyłącznie poprzez dopuszczone przez ASI do
eksploatacji licencjonowane oprogramowanie.
3. ASI prowadzi ewidencję oprogramowania.
4. Do eksploatacji dopuszcza się systemy informatyczne wyposażone w:
mechanizmy kontroli dostępu umożliwiające autoryzację użytkownika, z pominięciem narzędzi do edycji tekstu,
mechanizmy ochrony poufności, dostępności i integralności informacji, z uwzględnieniem potrzeby ochrony
kryptograficznej,
mechanizmy umożliwiające wykonanie kopii bezpieczeństwa oraz archiwizację danych, niezbędne do
przywrócenia prawidłowego działania systemu po awarii,
urządzenia niwelujące zakłócenia i podtrzymujące zasilanie,
mechanizmy monitorowania w celu identyfikacji i zapobiegania zagrożeniom, w szczególności pozwalające na
wykrycie prób nieautoryzowanego dostępu do informacji lub przekroczenia przyznanych uprawnień w systemie,
mechanizmy zarządzania zmianami.
5. Użytkownikom zabrania się:
korzystania ze stanowisk komputerowych podłączonych do sieci informatycznej poza godzinami i dniami pracy
bez pisemnej zgody ADO,
udostępniania stanowisk roboczych osobom nieuprawnionym,
wykorzystywania sieci komputerowej w celach innych niż wyznaczone przez ADO,
samowolnego instalowania i używania programów komputerowych,
korzystania z nielicencjonowanego oprogramowania oraz wykonywania jakichkolwiek działań niezgodnych z
ustawą o ochronie praw autorskich,
umożliwiania dostępu do zasobów wewnętrznej sieci informatycznej oraz sieci Internetowej osobom
nieuprawnionym,
używania komputera bez zainstalowanego oprogramowania antywirusowego.
6.3. Procedury nadawania uprawnień
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności.
22 / 41
1. Użytkowników systemu informatycznego tworzy oraz usuwa ASI na podstawie zgody ADO.
2. Do przetwarzania danych osobowych zgromadzonych w systemie informatycznym jak również w rejestrach tradycyjnych
wymagane jest upoważnienie.
3. Wprowadza się rejestr osób upoważnionych do przetwarzania danych osobowych, który stanowi załącznik nr 3 do
niniejszej dokumentacji.
4. Uprawnienia do pracy w systemie informatycznym odbierane są czasowo, poprzez zablokowanie konta w przypadku:
nieobecności pracownika w pracy trwającej dłużej niż 21 dni kalendarzowych,
zawieszenia w pełnieniu obowiązków służbowych.
5. Uprawnienia do przetwarzania danych osobowych odbierane są trwale w przypadku ustania stosunku pracy.
6. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe
oraz sposoby ich zabezpieczenia nawet w przypadku ustania stosunku pracy.
6.4. Stosowane metody i środki uwierzytelniania
Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem.
1. System informatyczny przetwarzający dane osobowe wykorzystuje mechanizm identyfikatora i hasła jako narzędzi
umożliwiających bezpieczne uwierzytelnienie.
2. Użytkownik posiadający upoważnienie do przetwarzania danych osobowych powinien posiadać hasła do systemu
operacyjnego (WINDOWS) oraz osobne do baz danych osobowych i aplikacji.
3. Hasło składa się z co najmniej ośmiu znaków, zawiera co najmniej jedną małą i wielką literę, jedną cyfrę lub jeden znak
specjalny.
4. Hasło nie powinno zawierać żadnych informacji, które można skojarzyć z użytkownikiem komputera (imiona
najbliższych, daty urodzenia, inicjały, itp.) i nie może być sekwencją kolejnych znaków klawiatury.
5. W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieupoważniona, użytkownik zobowiązany jest do
zgłoszenia tego faktu ASI i do natychmiastowej zmiany hasła.
6. Zmianę hasła należy dokonywać nie rzadziej niż co 30 dni.
7. Hasła najwyższego poziomu, którymi dysponuje ASI gromadzone są w zamkniętej kopercie przez ADO.
8. Hasła użytkowników generuje ASI i przekazuje wraz z loginem w formie papierowej w zamkniętej kopercie.
9. Po zapoznaniu się z loginem i hasłem użytkownik zobowiązany jest do ich zniszczenia w odpowiednim urządzeniu
niszczącym.
10. Hasło nie może być zapisywane i przechowywane.
11. Użytkownik nie może udostępniać identyfikatora oraz haseł osobom nieupoważnionym.
6.5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy
1. Każdy pracownik korzystający z systemu informatycznego przystępując do pracy powinien podać swoje dane dostępu
do komputera i systemu, tj. identyfikator i hasło.
2. Zawieszenie pracy polega na opuszczeniu stanowiska pracy bez wylogowania się i jest dopuszczalne tylko w przypadku
pozostania w pomieszczeniu. Użytkownik jest zobowiązany w takiej sytuacji do włączenia wygaszacza ekranu
odblokowywanego hasłem.
23 / 41
3. Zakończenie pracy w systemie następuje poprzez prawidłowe, wymagane przez daną aplikację oraz system operacyjny,
wykonanie czynności kończących. Niedopuszczalne jest zakończenie pracy poprzez wyłączenie napięcia zasilającego
bez pełnej procedury zamknięcia.
4. Ekrany monitorów stanowisk komputerowych, na których odbywa się przetwarzanie danych osobowych powinny być w
miarę możliwości tak umieszczone, aby uniemożliwić wgląd w dane osobom postronnym przebywającym w
pomieszczeniu oraz powinny automatycznie się wyłączać poprzez stosowanie wygaszaczy ekranowych
uruchamiających blokadę pracy na komputerze.
5. Osoba przetwarzająca dane osobowe w przypadku konieczności opuszczenia pomieszczenia, obowiązana jest
prawidłowo, zgodnie z instrukcją obsługi systemu, zakończyć pracę w systemie.
6. Czas rozpoczynania i kończenia pracy w systemach sieciowych, w tym systemach przetwarzających dane osobowe,
określa Regulamin Pracy.
7. Konieczność pracy w aplikacjach sieciowych w godzinach innych, niż określone w Regulaminie Pracy, powinna być
zgłoszona ASI.
8. ASI monitoruje logowanie oraz wylogowanie się użytkowników oraz nadzoruje zakres przetwarzanych przez nich
zbiorów danych.
6.6. Procedury tworzenia kopii awaryjnych
Procedury tworzenia kopii awaryjnych zbiorów danych oraz programów i narzędzi programowych służących do ich
przetwarzania.
1. Dane osobowe zabezpiecza się poprzez wykonywanie kopii awaryjnych.
2. Ochronie poprzez wykonanie kopii podlegają także programy i narzędzia programowe służące przetwarzaniu danych.
Kopie programów i narzędzi wykonywane są zaraz po instalacji oraz po każdej aktualizacji na zewnętrznych,
elektronicznych nośnikach informacji.
3. Zabezpieczeniu poprzez wykonywanie kopii awaryjnych podlegają także dane konfiguracyjne systemu informatycznego
przetwarzającego dane osobowe, w tym uprawnienia użytkowników systemu.
4. Za proces tworzenia kopii programów i narzędzi programowych oraz danych konfiguracyjnych systemu odpowiedzialny
jest ASI. Kopie przechowywane są w zamkniętej szafie w wydzielonym i zabezpieczonym pomieszczeniu.
5. Kopie awaryjne mogą być sporządzane automatycznie lub manualnie z wykorzystaniem specjalistycznych urządzeń do
wykonywania kopii lub standardowych narzędzi oferowanych przez stacje robocze.
6. Kopie baz danych gromadzonych na serwerach wykonywane są przez ASI co najmniej raz w tygodniu, zapisywane na
dysk sieciowy lub zewnętrzne nośniki danych i przechowywane przez okres 30 dni, a następnie usuwane. Ostatnia
kopia, przed usunięciem, jest zapisywana na przenośną pamięć zewnętrzną i przechowywana w zamkniętej szafie.
7. Kopie zbiorów danych osobowych zlokalizowanych na komputerach lokalnych wykonywane są przez poszczególnych
użytkowników ostatniego dnia każdego miesiąca i zapisywane na dyskach lokalnych w ustalonej z ASI lokalizacji lub
zapisywane na nośnikach zewnętrznych, autoryzowanych i dostarczonych przez ASI.
8. Pliki edytorów tekstu lub arkuszy kalkulacyjnych traktowane są jak kopie zbiorów, z których pochodzą przetwarzane w
nich dane i nie są objęte procedurami wykonywania kopii awaryjnych.
9. Nośniki, na których są przechowywane kopie danych osobowych powinny być wyraźnie oznaczone.
10. Za bezpieczeństwo kopii awaryjnych przetwarzanych lokalnie odpowiadają poszczególni użytkownicy systemu, którzy je
wykonali. Kopie usuwa się niezwłocznie po ustaniu ich użyteczności w sposób uniemożliwiający odtworzenie danych.
11. ASI zobowiązany jest do okresowego wykonywania testów odtworzeniowych kopii awaryjnych.
24 / 41
12. Zewnętrzne nośniki kopii awaryjnych, które zostały wycofane z użycia, podlegają zniszczeniu po usunięciu danych
osobowych, w odpowiednim urządzeniu niszczącym.
13. Użytkownik tworzy wydruki związane z przetwarzaniem danych osobowych wyłącznie w zakresie i ilości niezbędnej dla
celów służbowych w uzgodnieniu z przełożonym.
14. Wszystkie dokumenty, zestawienia i wydruki zawierające dane osobowe powinny być chronione przed dostępem osób
nieupoważnionych. Użytkownik przechowuje je w zamkniętej szafie w pomieszczeniu zabezpieczonym przed
nieuprawnionym dostępem.
6.7. Sposób, miejsce i okres przechowywania elektronicznych nośników
informacji
1. Nośniki danych oraz programy służące do przetwarzania danych osobowych, a także dane konfiguracyjne systemu
informatycznego, przechowuje ASI w odpowiednio zabezpieczonym pomieszczeniu.
2. Dane osobowe mogą być przetwarzane na serwerach, a także na dyskach lokalnych komputerów w lokalizacji ustalonej
z ASI. Zabrania się gromadzenia danych osobowych na innych, nie autoryzowanych przez ASI nośnikach danych.
3. W uzasadnionych przypadkach, za zgodą ABI, dane osobowe można przetwarzać na zewnętrznych nośnikach
informacji, autoryzowanych przez ASI.
4. Serwery oraz komputery, na których odbywa się przetwarzanie danych osobowych, powinny być zabezpieczone przed
utratą danych spowodowaną awarią zasilania poprzez stosowanie specjalnych urządzeń podtrzymujących zasilanie i
eliminujących zakłócenia sieci zasilającej.
5. Komputery przenośne oraz inne mobilne nośniki danych osobowych powinny być zabezpieczone ochroną
kryptograficzną – powinny być zaszyfrowane.
6.8. Sposób zabezpieczenia systemu przed wirusami
Sposób zabezpieczenia systemu przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu
do systemu informatycznego.
1. ASI zapewnia ochronę antywirusową oraz zarządza systemem wykrywającym i usuwającym wirusy i inne niebezpieczne
kody.
2. System antywirusowy jest skonfigurowany w sposób zapewniający na bieżąco skanowanie wszystkich informacji
przetwarzanych w systemie, a zwłaszcza poczty elektronicznej i stron internetowych.
3. System antywirusowy musi mieć aktywną funkcję automatycznej aktualizacji wzorców wirusów.
4. W przypadkach wystąpienia infekcji użytkownik powinien niezwłocznie powiadomić o tym fakcie ASI.
5. W przypadku wystąpienia infekcji i braku możliwości automatycznego usunięcia wirusów przez system antywirusowy,
ASI podejmuje działania zmierzające do usunięcia zagrożenia.
6. Użytkownicy systemu mają również obowiązek skanowania każdego zewnętrznego elektronicznego nośnika informacji,
który chcą wykorzystać.
6.9. Informacje o odbiorcach danych
Informacje o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.
25 / 41
1. Dla każdej osoby, której dane są przetwarzane w systemie informatycznym powinny być automatycznie odnotowane
następujące informacje:
- dane o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba, że dane
te traktuje się jako dane jawne,
- sprzeciwu osoby, której dane dotyczą w przypadku zamierzenia przetwarzania jej danych w celach marketingowych lub
zamierzenia przekazania jej danych innemu administratorowi.
2. Zapis pkt 1 nie dotyczy systemów służących do przetwarzania danych ograniczonych do edycji tekstu w celu
udostępnienia go na piśmie i niezwłocznym usunięciu z systemu.
3. Dla każdej osoby, której dane są przetwarzane w systemie informatycznym, system powinien zapewniać sporządzenie i
wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w pkt 1.
4. W uzasadnionych przypadkach uniemożliwiających automatyczne odnotowywanie, o którym mowa w pkt 1, prowadzi się
odrębny „rejestr udostępniania”, w oparciu o własne rozwiązania organizacyjne.
5. Za udostępnianie danych zgodnie z przepisami prawa odpowiedzialny jest ADO.
6.10. Przesyłanie danych poza obszar przetwarzania
1. Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar przetwarzania zabezpiecza się w sposób
zapewniający poufność i integralność tych danych, w szczególności poprzez zastosowanie ochrony kryptograficznej.
2. W wypadku przesyłania danych osobowych przez sieć internetową pocztą elektroniczną należy każdy z załączników
zabezpieczyć ochroną kryptograficzną poprzez nadanie hasła odczytu. Hasło należy przesłać lub podać odbiorcy w
innej przesyłce, a najlepiej z wykorzystaniem innych metod komunikacji (tel., faks, bezpośrednia rozmowa).
3. Zabrania się przekazywania danych przez aplikacje internetowe nie wykorzystujące odpowiedniego protokołu
szyfrowania (adres internetowy musi być poprzedzony zapisem „https”).
6.11. Procedury wykonywania przeglądów i konserwacji
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
1. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w
sposób uniemożliwiający ich odczytanie,
przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych
danych, w sposób uniemożliwiający ich odzyskanie,
naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo
naprawia się je pod nadzorem ASI.
2. Instalacji, konserwacji oraz napraw sprzętu komputerowego dokonuje ASI lub pracownicy firm przez niego wskazanych.
3. Przeglądy i konserwacje systemu oraz nośników informacji służących do przetwarzania danych mogą być wykonywane
jedynie przez osoby posiadające upoważnienie wydane przez ADO lub posiadające umowy na powierzenie
przetwarzania danych w zakresie konserwacji i napraw.
4. Wszelkie prace związane z naprawami i konserwacją systemu informatycznego przetwarzającego dane osobowe muszą
uwzględniać zachowanie wymaganego poziomu zabezpieczenia tych danych przed dostępem do nich osób
nieupoważnionych, w szczególności poprzez bezpośredni nadzór prowadzony przez ASI.
5. ASI wykonuje okresowy przegląd nośników danych osobowych eliminując te, które nie zapewniają odpowiedniego
poziomu bezpieczeństwa oraz niezawodności.
26 / 41
7. Załącznik nr 1
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.
ID
1
Nazwa zbioru
Faktury/Rachunki
Podstawa prawna
- przetwarzanie jest konieczne do
realizacji umowy, gdy osoba, której
dane dotyczą, jest jej stroną lub gdy
jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie
osoby, której dane dotyczą.
- przetwarzanie jest niezbędne do
wypełnienia prawnie
usprawiedliwionych celów
realizowanych przez administratorów
danych albo odbiorców danych, a
przetwarzanie nie narusza praw i
Zakres danych
Zakres danych:
- nazwiska i imiona
- adres zamieszkania lub pobytu
- numer ewidencyjny PESEL
- numer Identyfikacji Podatkowej
- nr rachunku, towar/usługa,
ilość, wartość.
2*$
Kontrahenci
Zakres danych:
Zlecone
- nazwiska i imiona
Finanse
- adres zamieszkania lub pobytu ABIEXPERT+
- seria i numer dowodu
osobistego
- numer telefonu
- fax, e-mail.
3*$
Korespondencja
- Ustawa z dnia 14 lipca 1983 r. o
narodowym zasobie archiwalnym i
archiwach. Rozporządzenie Prezesa
Rady Ministrów z dnia 18 stycznia 2011
r. w sprawie instrukcji kancelaryjnej,
jednolitych rzeczowych wykazów akt
oraz instrukcji w sprawie organizacji i
zakresu działania archiwów
zakładowych
Zakres danych:
Poczta internetowa
- nazwiska i imiona
- numer telefonu
- e-mail, opis sprawy, data
nadania, fax.
4
Umowy
- Ustawa Kodeks Cywilny.
Zakres danych:
- nazwiska i imiona
osobistego
- numer telefonu
5
Przelewy/Wyciągi
bankowe
Zakres danych:
Przelewy
- nazwiska i imiona
- nr kont bankowych
6$
Zamówienia publiczne
- Ustawa z dnia 29 stycznia 2004 r.
Zakres danych:
Prawo zamówień publicznych (Dz. U. z - nazwiska i imiona
2010 r. Nr 113, poz. 759 z późn. zm.)
- imiona rodziców
- data urodzenia
Programy
-
27 / 41
- miejsce urodzenia
- miejsce pracy
- zawód
- wykształcenie
osobistego
- numer telefonu
- Informacje dotyczące
wysokości posiadanych środków
finansowych, Informacje
dotyczące ubezpieczeń
wykonawcy, Informacje
dotyczące liczby zatrudnionych
pracowników, Informacje
dotyczące osób wykonujących
zamówienie, Informacje
dotyczące braku zaległości
wykonawcy w opłacaniu
podatków, opłat oraz składek na
ubezpieczenie.
Dane wrażliwe:
- innych orzeczeń wydanych w
postępowaniu sądowym lub
administracyjnym
7*
Ewidencja osób
upoważnionych do
przetwarzania danych
osobowych
- Ustawa o ochronie danych
osobowych.
Zakres danych:
- nazwiska i imiona
- miejsce pracy
- zawód
- wykształcenie
8$
Rzeczowy wykaz akt
- Ustawa z dnia 7 września 1991 r. o
systemie oświaty oraz Rozporządzenie
Prezesa Rady Ministrów z dnia 18
stycznia 2011 r. w sprawie instrukcji
kancelaryjnej, jednolitych rzeczowych
wykazów akt oraz instrukcji w sprawie
organizacji i zakresu działania
archiwów zakładowych
Zakres danych:
- nazwiska i imiona
- opis sprawy
Dane wrażliwe:
- stan zdrowia
administracyjnym
9
Stażyści i praktykanci
Zakres danych:
- nazwiska i imiona
- data urodzenia
- zawód
- wykształcenie
osobistego
- numer telefonu
- Mail
10*
Strona internetowa
- zgoda osoby, której dane dotyczą, na
przetwarzanie danych jej dotyczących
Zakres danych:
- nazwiska i imiona
- numer telefonu
- fotografie, e-mail
Strona internetowa
11
Wolontariat
- Ustawa o działalności pożytku
publicznego i o wolontariacie, Ustawa
Kodeks Cywilny
Zakres danych:
- nazwiska i imiona
- data urodzenia
-
ABIEXPERT+
28 / 41
- zawód
- wykształcenie
osobistego
- numer telefonu
- Mail
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- nazwiska rodziców (prawnych
opiekunów) oraz adresy ich
zamieszkania
12
Dokumentacja realizacji
obowiązku nauki
- Ustawa o systemie oświaty
13
Dokumentacja nauczania
indywidualnego i
specjalnego
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- numer telefonu
Dane wrażliwe:
- stan zdrowia
administracyjnym
14
Dokumentacja Zespołów
dot. planowania i
koordynowania udzielania
pomocy psychologiczno-p
edagogicznej uczniom
- Rozporządzenie Ministra Edukacji
Narodowej z 30 kwietnia 2013 r. w
sprawie zasad udzielania i organizacji
pomocy psychologiczno-pedagogicznej
w publicznych przedszkolach, szkołach
i placówkach Dz.U. z 2013 r., poz. 532
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- opinie lub orzeczenia ppp,
nazwiska rodziców i adres ich
zamieszkania oraz informacje o
kontaktach z innymi osobami,
instytucjami
Dane wrażliwe:
- stan zdrowia
15
Dziennik psychologa
- Rozporządzenie MEN w sprawie
sposobu prowadzenia przez publiczne
przedszkola, szkoły i placówki
dokumentacji z przebiegu nauczania,
działalności wychowawczej i
opiekuńczej oraz rodzajów tej
dokumentacji.
Zakres danych:
- nazwiska i imiona
- informacje o zajęciach, stan
zdrowia, formy pomocy.
Dane wrażliwe:
- stan zdrowia
16
Indywidualne teczki
pomocy psychologiczno-p
edagogicznej
dokumentacji.
Zakres danych:
- nazwiska i imiona
- data urodzenia
- miejsce urodzenia
- nazwiska i imiona rodziców
oraz ich adres zamieszkania,
dokumentacja badań i czynności
uzupełniających.
-
29 / 41
Dane wrażliwe:
- stan zdrowia
Zakres danych:
- nazwiska i imiona
- miejsce pracy
- zawód
- wykształcenie
- wymiar czasu pracy
17*
Arkusz Organizacyjny
- - Rozporządzenie Ministra Edukacji
Narodowej z 21 maja 2001 roku w
sprawie ramowych statutów
publicznego przedszkola oraz
publicznych szkół (Dz.U. Nr 61, poz.
624 ze zmianami), - ustawa z dnia 7
września 1991 r. o systemie oświaty
(Dz. U. z dnia 2 grudnia 2004 r. Nr 256,
poz. 2572 z późn. zm.),
18
Awans Zawodowy
- Ustawa Karta Nauczyciela
Zakres danych:
- nazwiska i imiona
- data urodzenia
- wykształcenie
- nazwisko rodowe, przebieg
zatrudnienia, składniki
wynagrodzenia, zapytanie o
karalność, stan zdrowia
Dane wrażliwe:
- stan zdrowia
- orzeczeń o ukaraniu
19
Dobrowolne
ubezpieczenie
pracowników
Zakres danych:
- nazwiska i imiona
- numer telefonu
20
Dokumentacja
kadrowo-płacowa
- Ustawa Kodeks Pracy
Zakres danych:
Kadry
- nazwiska i imiona
Płace
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- miejsce pracy
- zawód
- wykształcenie
osobistego
- Przebieg zatrudnienia,
wynagrodzenie, daty urodzenia
dzieci, imiona i nazwiska dzieci.
Dane wrażliwe:
- stan zdrowia
21
Dokumentacja wypadków
pracowników
- Rozporządzenie Ministra Gospodarki i
Pracy z 16.9.2004 r. w sprawie wzoru
protokołu ustalenia okoliczności i
przyczyn wypadku przy pracy.
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
osobistego
Dane wrażliwe:
- stan zdrowia
22
Fundusz doskonalenia i
dokształcania nauczycieli
Zakres danych:
- nazwiska i imiona
- miejsce pracy
- zawód
- wykształcenie
Pabs
30 / 41
23
Protokoły Rady
Pedagogicznej
24
Rekrutacja pracowników
25
System Informacji
Oświatowej
- Rozporządzenie MENiS w sprawie
dokumentacji.
Zakres danych:
- nazwiska i imiona
- data urodzenia
Dane wrażliwe:
- stan zdrowia
-
- Ustawa o systemie informacji
oświatowej.
- Informacje o uczniu: Imię,
SIO
nazwisko, miejsce
Zmodernizowane SIO
zamieszkania, pesel, dane
dziedzinowe: klasa, semestr,
rodzaj oddziału, nauczanie
indywidualne, korzystanie z
dodatkowej bezpłatnej nauki
języka polskiego oraz nauki
języka i kultury kraju
pochodzenia, obowiązek
szkolny poza szkołą, udział w
zajęciach
rewalidacyjno-wychowawczych,
pomoc
psychologiczno-pedagogiczna w
tym rodzaj diagnozy, opinia lub
orzeczenie, rodzaj zajęć, nauka
języka obcego w tym języka
mniejszości, uczestniczenie w
zajęciach dla uczniów
szczególnie uzdolnionych,
uzyskanie albo nieuzyskanie
promocji, korzystanie z
przedłużonego okresu nauki na
etapie edukacyjnym, ukończenie
albo nieukończenie szkoły,
korzystanie z bezpłatnego
transportu, uczestniczenie w
zajęciach edukacyjnych
dodatkowych oraz w zajęciach
pozalekcyjnych, uzyskanie karty
rowerowej lub motorowerowej,
wypadki, korzystanie przez
ucznia z pomocy materialnej o
charakterze motywacyjnym,
okres uczęszczania, wyniki
egzaminu, informacje o
spełnianiu obowiązku szkolnego
przez uczęszczanie do szkoły
za granicą lub przy
przedstawicielstwie
dyplomatycznym innego
państwa w Polsce oraz
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- miejsce pracy
- zawód
- wykształcenie
osobistego
- numer telefonu
31 / 41
przyczyny nie spełniania.
Nauczyciele: nazwisko, imię,
PESEL, dane dziedzinowe:
wykształcenie, przygotowanie
pedagogiczne, posiadane
kwalifikacje do nauczania, staż
pracy, w tym staż pracy
pedagogicznej, forma i wymiar
zatrudnienia, zajmowane
stanowiska i sprawowane
funkcje, rodzaje i wymiar
prowadzonych zajęć lub innych
wykonywanych obowiązków,
przyczyny nieprowadzenia
zajęć, stopień awansu
zawodowego oraz dane
dotyczące uzyskania kolejnego
stopnia awansu zawodowego,
dane o wysokości
wynagrodzenia, z
wyszczególnieniem jego
składników i ich wysokości, w
tym składników
nieperiodycznych, oraz
dodatków i ich wysokości - w
przypadku osób zatrudnionych
w publicznych szkołach i
placówkach oświatowych
prowadzonych przez jednostki
samorządu terytorialnego i
ministrów, data nawiązania
stosunku pracy oraz data
rozwiązania albo wygaśnięcia
stosunku pracy, dodatkowe
uprawnienia zawodowe.
Dane wrażliwe:
- pochodzenie etniczne
- stan zdrowia
26
Ubezpieczenia ZUS
- Ustawa o systemie ubezpieczeń
społecznych.
Zakres danych:
Płatnik
- nazwiska i imiona
- data urodzenia
- miejsce pracy
- zawód
osobistego
- Nazwisko rodowe, dane
członków rodziny (imię i
nazwisko, data urodzenia, adres
zamieszkania, pesel, NIP.)
27
Zakładowy Fundusz
Świadczeń Socjalnych
- Ustawa o zakładowym funduszu
świadczeń socjalnych.
Zakres danych:
- nazwiska i imiona
- dochody
Dane wrażliwe:
- stan zdrowia
28
Absolwenci
Zakres danych:
- nazwiska i imiona
- fotografia
Dane wrażliwe:
-
32 / 41
- pochodzenie rasowe
- pochodzenie etniczne
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- nr księgi uczniów, przebieg
nauki, wyniki nauki ucznia
29
Arkusz Ocen
dokumentacji.
30
Dokumentacja
ubezpieczeń uczniów
31
Dokumentacja wycieczek
warunków i sposobu organizowania
przez publiczne przedszkola, szkoły i
placówki krajoznawstwa i turystyki.
32
Dokumentacja wypadków
uczniów
Narodowej i Sportu w sprawie
bezpieczeństwa i higieny w publicznych
i niepublicznych szkołach i placówkach.
Zakres danych:
- nazwiska i imiona
Dane wrażliwe:
- stan zdrowia
33
Dokumentacja zwolnień z
zajęć
Zakres danych:
- nazwiska i imiona
Dane wrażliwe:
- stan zdrowia
34
Dziennik innych zajęć
dokumentacji.
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- telefony, adresy poczty
elektronicznej
rodziców/opiekunów prawnych
ucznia, a także oddział do
którego uczeń uczęszcza,
program pracy, frekwencja,
ocena postępów.
35*
Dziennik lekcyjny
dokumentacji.
Zakres danych:
e-Dziennik
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- telefony, adresy poczty
elektronicznej, adresy
zamieszkania, nazwiska
rodziców (prawnych
opiekunów), a także frekwencja
oraz oceny ucznia.
36
Dziennik zajęć
rewalidacyjno wychowawczych
dokumentacji.
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- nazwiska, adresy poczty
elektronicznej, telefony, adres
zamieszkania
rodzców/opiekunów, a także
Zakres danych:
- nazwiska i imiona
Zakres danych:
- nazwiska i imiona
- data urodzenia
Dane wrażliwe:
- stan zdrowia
-
33 / 41
informacja o upośledzeniu w
stopniu głębokim, frekwencja,
opis zajęć.
Dane wrażliwe:
- stan zdrowia
37
Ewidencje wydanych
świadectw ukończenia
szkoły, legitymacji
szkolnych i zaświadczeń
OKE
38
Karty czytelników biblioteki - zgoda osoby, której dane dotyczą, na
szkolnej
39*
Księga Uczniów
dokumentacji
40
Okręgowa Komisja
Egzaminacyjna
Narodowej w sprawie warunków i
sposobu oceniania, klasyfikowania i
promowania uczniów i słuchaczy oraz
przeprowadzania sprawdzianów i
egzaminów w szkołach publicznych.
Zakres danych:
- nazwiska i imiona
- data urodzenia
- miejsce urodzenia
- płeć, dysleksja, mniejszość
narod
Dane wrażliwe:
- stan zdrowia
- Ustawa o systemie oświaty
Zakres danych:
Nabo
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- wykształcenie
- nazwiska, telefon, e-mail,
adres zamieszkania rodziców,
szczególne osiągnięcia, wyniki
egzaminów gimnazjalnych, (gdy
zawodowa: zaświadczenie
lekarskie), świadectwo
ukończenia gimnazjum, wyniki
sprawdzianów uzdolnień
kierunkowych,wskazanie
kolejności wybranych szkół w
porządku od najbardziej do
najmniej preferowanych,
wskazanie wybranego oddziału.
II etap: opinie z poradni pp III
etap: informacje o
wielodzietności rodziny,
niepełnosprawności rodziców i
rodzeństwa kandydata,
samotnym wychowywaniu
kandydata w rodzinie, objęciu
kandydata pieczą zastępczą
Dane wrażliwe:
41*$ Rekrutacja uczniów
- Rozporządzenia Ministra Edukacji
Narodowej w sprawie świadectw,
dyplomów państwowych i innych
druków szkolnych
Zakres danych:
- nazwiska i imiona
-
Zakres danych:
Biblioteka
- nazwiska i imiona
Zakres danych:
Oson
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
- nazwiska rodziców (prawnych
opiekunów) oraz adresy ich
zamieszkania, daty rozpoczęcia
oraz zakończenia nauki lub
opuszczenia szkoły oraz
przyczyna.
-
34 / 41
- stan zdrowia
42
Rezygnacje z udziału
dzieci w zajęciach
„Wychowanie do życia w
rodzinie”
sposobu nauczania szkolnego oraz
zakresu treści dotyczących wiedzy o
życiu seksualnym człowieka, o
zasadach świadomego i
odpowiedzialnego rodzicielstwa, o
wartości rodziny, życia w fazie
prenatalnej oraz metodach i środkach
świadomej prokreacji zawartych w
podstawie programowej kształcenia
ogólnego.
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- Nazwiska adresy
zamieszkania rodziców ucznia
-
43
Stypendia za wyniki w
nauce
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- nazwiska oraz adresy
zamieszkania rodziców dziecka
44
Uczestnicy konkursów
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- numer telefonu
- wiek
-
45
Wnioski rodziców o naukę
religii
warunków i sposobu organizowania
nauki religii w publicznych
przedszkolach i szkołach.
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- Nazwiska i imiona, adresy
zamieszkania rodziców ucznia
przynależność wyznaniowa
Dane wrażliwe:
- przynależność wyznaniową
-
46
Zaświadczenia WKU
Zakres danych:
- nazwiska i imiona
- imiona rodziców
- data urodzenia
- miejsce urodzenia
* - zbiory powierzone do przetwarzania
# - zbiory przetwarzane w oparciu o umowę powierzenia
$ - zbiory wymagające zgłoszenia do GIODO
35 / 41

Dokumentacja ochrony danych osobowych IIILO Kalisz

Transkrypt

Podobne dokumenty

ROZKOSZE ŁAMANIA GŁOWY Nazwa szkoły telefon Adres szkoły

Przegląd „Piosenka nie zna granic” 2015 Karta zgłoszeniowa

Nie można zapomnieć... XX wiek

http://www.matematycy.interklasa.pl/biografie/matematyk.php?str=lei

Wyciąg z dowodu osobistego

KARTA ZGŁOSZENIA KOBIERZYCKI ARLEKIN 2015 NAZWA

Uwaga na rozmowę o pracę prosimy przynieść kopie świadectw

Oświadczenie Oświadczam, e biorę pełną odpowiedzialność za

wniosek akt urodzenia - bip.lomianki.p