ZARZĄDZENIE NR 1/2018 DYREKTORA SZKOŁY PODSTAWOWEJ NR 182 im. Tadeusza Zawadzkiego „Zośki” w ŁODZI
Zarządzenie z dnia 14 maja 2018 r. w sprawie wdrożenia Polityk Ochrony Danych
Na podstawie art. 68 ust. 1 pkt 1 Ustawy z dnia 14 grudnia 2016 roku – Prawo oświatowe (Dz. U. z 2017 r., poz. 59 ze zm.) w związku z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Zarządza się, co następuje:
§ 1
Wprowadzam w życie w Szkole Podstawowej nr 182 im. Tadeusza Zawadzkiego „Zośki” w Łodzi zwanej dalej szkołą, Polityki Ochrony Danych Osobowych, która stanowi załącznik 1 do zarządzenia.
§ 2
Zadania związane z prawidłowością przetwarzania danych osobowych w szkole realizują wszyscy nauczyciele i pracownicy, zatrudnieni w placówce, a za skuteczne funkcjonowanie Polityki Ochrony Danych odpowiedzialny jest dyrektor szkoły – ADO.
§ 3
Zasady ochrony danych określone są w Regulaminie Ochrony Danych, który stanowi załącznik nr 2 do zarządzenia.
§ 4
Zobowiązuję wszystkich pracowników do zapoznania się z przepisami ochrony danych, obowiązujących w Szkole Podstawowej nr 182 im. Tadeusza Zawadzkiego „Zośki” w Łodzi oraz złożenie pisemnego oświadczenia o zapoznaniu się z Regulaminem Ochrony Danych w terminie do 25 maja 2018 r. Wzór oświadczenia stanowi załącznik nr 3 do zarządzenia.
§ 5
Funkcję Inspektora Ochrony Danych sprawuje Marcin Olborski. Dane do kontaktu: tel. 698-726-907 e-mail: olbor_20@wp.pl
§ 6
Zarządzenie wchodzi w życie z dniem 25 maja 2018 roku i podlega ogłoszeniu w Księdze Zarządzeń.
dyrektor jednostki – ADO
Załączniki do zarządzenia:
- Polityka Ochrony Danych w Szkole ………………………………………… – załącznik 1
- Regulamin Ochrony Danych …………………………………………………….. – załącznik 2
- Wzór oświadczenia …………………………………………………………………….. – załącznik 3
Regulamin Ochrony Danych Osobowych w Szkole Podstawowej nr 182 im. Tadeusza Zawadzkiego „Zośki” w Łodzi z dnia 14 maja 2018 r.
Spis treści: - Postanowienia ogólne.
- Zasady korzystania z internetu.
- Zasady korzystania z poczty elektronicznej.
- Zasady użytkowania komputerów przenośnych.
- Zasady wynoszenia nośników elektronicznych poza szkołę/placówkę.
- Zabezpieczenie dokumentacji papierowej z danymi osobowymi.
- Zasady tworzenia kopii zapasowych.
- Zasady tworzenia kopii serwera.
- Zasady zabezpieczania dokumentów papierowych.
- Procedura niszczenia danych osobowych na nośnikach elektronicznych.
- Polityka gospodarowania kluczami – własna.
- Zasady naprawy sprzętu IT w serwisach zewnętrznych.
- Odpowiedzialność dyscyplinarna.
Rozdział 1
Postanowienia ogólne - Regulamin stanowi wykaz podstawowych obowiązków z zakresu przestrzegania zasad ochrony danych osobowych w, Szkole Podstawowej nr 182 im. Tadeusza Zawadzkiego „Zośki” w Łodzi zgodnie z RODO.
- Regulamin obowiązuje wszystkich pracowników szkoły, podmioty przetwarzające dane osobowe na podstawie zawartych umów między przetwarzającym a powierzającym, użytkowników systemów informatycznych z dostępem do danych osobowych upoważnionych przez administratora na piśmie.
- Każdy z wymienionych podmiotów jest zobowiązany do zapoznania się z dokumentem i bezwzględnego przestrzegania zawartych w nim zasad.
- Administratorem danych osobowych w Szkole Podstawowej nr 182 im. Tadeusza Zawadzkiego „Zośki” w Łodzi jest dyrektor szkoły.
- Funkcje Inspektora Ochrony Danych sprawuje p. Marcin Olborski.
Rozdział 2
Zasady korzystania z internetu - Użytkownik zobowiązany jest do korzystania z internetu wyłącznie w celach służbowych.
- Zabrania się zgrywania na dysk twardy komputera oraz uruchamia jakichkolwiek programów nielegalnych oraz plików pobranych z niewiadomego źródła. Pliki takie powinny być ściągane tylko za każdorazową zgodą osoby upoważnionej do administrowania infrastrukturą IT i tylko w uzasadnionych przypadkach.
- Użytkownik ponosi odpowiedzialność za szkody w infrastrukturze IT spowodowane przez oprogramowanie instalowane z Internetu.
- Zabrania się wchodzenia na strony, na których prezentowane są informacje o charakterze przestępczym, hackerskim, pornograficznym, lub innym zakazanym przez prawo ze względu na zainstalowane na nich szkodliwe
oprogramowanie infekujące w sposób automatyczny system operacyjny komputera szkodliwym oprogramowaniem. - Zabrania się w opcjach przeglądarki internetowej włączać opcji autouzupełniania formularzy i zapamiętywania haseł.
- W przypadku korzystania z szyfrowanego połączenia przez przeglądarkę, należy zwracać uwagę na pojawienie się odpowiedniej ikonki (kłódka) oraz adresu www rozpoczynającego się frazą. W tej sytuacji należy „kliknąć” na ikonę kłódki i sprawdzić, czy właścicielem certyfikatu jest wiarygodny właściciel.
- Należy zachować szczególną ostrożność w przypadku podejrzanego żądania lub prośby zalogowania się na stronę (np. na stronę banku, portalu społecznościowego, e-sklepu, poczty mailowej) lub podania naszych loginów i haseł, PIN-ów, numerów kart płatniczych przez Internet.
Rozdział 3
Zasady korzystania z poczty elektronicznej - Osoby upoważnione do przetwarzania danych osobowych zobowiązane są do korzystania z poczty elektronicznej tylko w celach służbowych.
- W przypadku przesyłania danych osobowych poza szkołę należy wykorzystywać mechanizmy kryptograficzne (hasłowanie wysyłanych dokumentów lub plików zzipowanych, podpis elektroniczny).
- W przypadku zabezpieczenia plików hasłem, obowiązuje minimum 8 znaków: duże i małe litery i cyfry lub znaki specjalne a hasło należy przesłać odrębnym mailem lub inną metodą, np. telefonicznie lub SMS-em.
- Każdy użytkownik przed wysłaniem poczty jest zobowiązany sprawdzić poprawność adresu odbiorcy dokumentu.
- Zaleca się, aby użytkownik podczas przesyłania danych osobowych mailem zawarł w treści prośbę o potwierdzenie otrzymania i zapoznania się z informacją przez adresata.
- W celu ochrony przed zainfekowaniem komputera użytkownika i komputerów pracujących w sieci (kryptowirusy) zabrania się otwierania załączników (plików) w mailach nawet od prawdopodobnie znanych użytkownikowi nadawców bez weryfikacji nadawcy.
- Zabrania się, bez weryfikacji wiarygodności nadawcy „klikać” na hiperlinki w mailach. Nie-przestrzeganie tej zasady może doprowadzić do zainfekowania komputera użytkownika i innych pracujących w sieci.
- Wszystkie przypadki e-maili budzących podejrzenie należy zgłaszać administratorowi sieci/ informatykowi.
- Przy wysyłaniu maili do wielu adresatów jednocześnie, należy użyć metody „Ukryte do wiadomości – UDW”. Zabronione jest rozsyłanie maili do wielu adresatów z użyciem opcji „Do wiadomości”.
- Zabrania się rozsyłania maili z tzw. „ łańcuszkami szczęścia”. Adres mailowy służbowy służy wyłącznie do korespondencji służbowej.
- Nakazuje się okresowe czyszczenie poczty z nieaktualnych -e- mali i opróżnianie kosza.
- Zakazuje się wysyłania korespondencji służbowej na prywatne skrzynki pocztowe pracowników lub innych osób.
- Użytkownicy mają prawo korzystać z poczty mailowej dla celów prywatnych wyłącznie okazjonalnie i powinno być to ograniczone do niezbędnego minimum.
- Korzystanie z poczty elektronicznej dla celów prywatnych nie może wpływać na jakość i ilość świadczonej przez Użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez niego obowiązków służbowych.
- Użytkownicy nie mają prawa korzystać z poczty elektronicznej w celu rozpowszechniania treści o charakterze obraźliwym, niemoralnym lub nietycznym i naruszającym cudzą godność i prywatność
- Zabrania się dokonywanie w sieci zakupów, rezerwacji usług lub świadczeń na rzecz użytkownika oraz dokonywania bankowych z prywatnego konta.
- Użytkownik bez zgody Pracodawcy nie ma prawa wysyłać wiadomości zawierających dane osobowe dotyczące Pracodawcy / Zleceniodawcy, jego pracowników, klientów, dostawców lub kontrahentów za pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej.
- Wszelkie przesyłane dokumentów, opracowania, jak i innych treści przesyłane przez użytkownika podlegają zasadom ochrony prawa autorskiego i prawa własności przemysłowej, które użytkownik jest obowiązany przestrzegać.
Rozdział 4
Regulamin użytkowania komputerów przenośnych - Każdy Użytkownik komputera przenośnego winien zapoznać się z Regulaminem użytkowania komputerów przenośnych oraz pisemnie zobowiązać się do jego przestrzegania.
- W przypadku przechowywania na komputerze przenośnym danych osobowych lub stanowiących tajemnicę Pracodawcy, Użytkownik zobowiązany jest do ich przechowywania na dysku szyfrowanym, zabezpieczonym co najmniej 8- znakowym hasłem (duże, małe litery, znaki specjalne lub cyfry).
- Na komputerach przenośnych przeznaczonych do zewnętrznych prezentacji multimedialnych nie powinny, o ile jest to możliwe, znajdować się dane osobowe lub stanowiące tajemnicę Pracodawcy.
- W przypadku kradzieży lub zgubienia komputera przenośnego, Użytkownik powinien natychmiast powiadomić o tym osobę odpowiedzialną za ochronę danych tj. Administratora Danych lub IOD, zaznaczając jednocześnie, jakiego rodzaju dane były na tym urządzeniu przechowywane.
- Użytkownik zobowiązany jest do zabezpieczenia komputera przenośnego w czasie transportu, a w szczególności:
1) zaleca się przenoszenie go w specjalnym futerale;
2) zabrania się pozostawiania komputera przenośnego w samochodzie podczas postoju w miejscu publicznym bez nadzoru;
3) podczas jazdy samochodem zaleca się przechowywanie komputera przenośnego pod tylnym siedzeniem kierowcy. - W przypadku, gdy komputer przenośny pozostawiony jest w miejscu dostępnym dla osób nieupoważnionych, Użytkownik jest zobowiązany do stosowania kabla zabezpieczającego. W szczególności dotyczy to zabezpieczenia komputera na stanowisku pracy, podczas konferencji, prezentacji, szkoleń, targów itp.
- W przypadku pozostawiania komputerów przenośnych w szkole zaleca się umieszczanie po zakończeniu pracy w zamykanych szafkach.
- Użytkownik komputera przenośnego jest zobowiązany do regularnego tworzenia kopii bezpieczeństwa danych na serwerze lub na określonych nośnikach (pendrive, CD, DVD). Nośniki z takimi kopiami powinny być przechowywane w bezpiecznym miejscu, z uwzględnieniem ochrony przed dostępem osób niepowołanych.
- Pracując na komputerze przenośnym w miejscach publicznych i środkach transportu, Użytkownik zobowiązany jest chronić wyświetlane na monitorze informacje przed wglądem osób nieupoważnionych.
Rozdział 5
Zasady wynoszenia nośników z danymi osobowymi poza szkołę - Użytkownicy nie mogą wynosić poza szkołę bez zgody Administratora danych żadnych wymiennych elektronicznych nośników informacji, tj. wymienne twarde dyski, pendrive, płyty CD, DVD, pamięci typu Flash.
- W sytuacjach koniecznych, za zgodą Administratora danych, wynoszone nośniki wymienne muszą być zaszyfrowane, a pliki opatrzone hasłem.
- Zabrania się wynoszenia poza szkołę dokumentacji papierowej, zwierającej dane osobowe (np. arkusze ocen). W przypadku innej dokumentacji (prace klasowe, listy uczestników wy-cieczek, dokumentacja wycieczek) należy ją przenosić w zamykanych teczkach lub w innej bezpiecznej formie.
- W przypadku przesyłania dokumentacji j/w należy korzystać z zaufanych firm kurierskich, za pokwitowaniem i w opakowaniach gwarantujących niedostępność osób trzecich.
Rozdział 6
Zasady tworzenia kopii zapasowych - Zbiory danych osobowych w systemie informatycznych są zabezpieczane przed utratą lub uszkodzeniem za pomocą:
1) urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej,
2) sporządzania kopii zapasowych (kopie pełne). - Pełne kopie zapasowe zbiorów danych tworzone są 2 razy w ciągu roku. Kopie systemu kadrowego całościowe sporządzane są raz w miesiącu, a kopie przyrostowe raz dziennie.
- W szczególnych sytuacjach, np. przed aktualizacją lub zmianą oprogramowania lub systemu należy wykonać bezwzględnie pełną kopię zapasową systemu.
- Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu. Za przeprowadzenie tych czynności odpowiada osoba upoważniona przez Administratora Danych Osobowych.
- Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych.
- Kopie całościowe przechowywane są przez 5 lat a kopie przyrostowe przez 1 miesiąc.
Rozdział 7
Zasady zabezpieczania dokumentacji papierowej z danymi osobowymi - Upoważnieni pracownicy są zobowiązani do stosowania tzw. „Polityki czystego biurka”. Polega ona na zabezpieczaniu (zamykaniu) dokumentów np. w szafach, biurkach, pomieszczeniach przed kradzieżą lub wglądem osób nieupoważnionych po godzinach pracy lub podczas ich nieobecności w trakcie godzin pracy.
- Upoważnieni pracownicy zobowiązani są do niszczenia dokumentów i wydruków w nisz-czarkach lub utylizacji ich w specjalnych bezpiecznych pojemnikach z przeznaczeniem do bezpiecznej utylizacji.
- Zabrania się pozostawiania dokumentów z danymi osobowymi poza zabezpieczonymi pomieszczeniami, np. w korytarzach, na kserokopiarkach, drukarkach, w pomieszczeniach ogólnodostępnych.
- Zabrania się wyrzucania niezniszczonych dokumentów na śmietnik lub porzucania ich na zewnątrz, np., na terenach publicznych miejskich lub w lesie.
Rozdział 8
Procedura niszczenia danych na nośnikach elektronicznych - W odniesieniu do nośników przenośnych (pendrive’y) oraz nośników danych zainstalowanych w komponentach informatycznych – złomowanych stosowane są mechanizmy bezpiecznego kasowania informacji:
1) za pomocą specjalistycznego oprogramowania;
2) przy użyciu demagnetyzacji;
3) poprzez fizyczne niszczenie (pocięcie, spalenie) nośników; - Wyznaczony przez ADO pracownik dokonuje kontroli prawidłowości usunięcia informacji.
- Nośniki usuwalne, które nie mogą być ponownie wykorzystane, są niszczone.
- Za właściwe skasowanie informacji zawartej na nośniku przenośnym lub w pamięci masowej stacji roboczej odpowiada użytkownik.
- Za kasowanie informacji z pamięci masowych serwerów oraz nośników kopii archiwalnych i zapasowych odpowiada administrator danych.
- Niszczenie nośnika zostaje odnotowane w protokole zniszczenia.
Rozdział 9
Procedura niszczenia danych na nośnikach papierowych - Dokumentacja papierowa niszczona jest w niszczarkach paskowych oraz w niszczarkach o podwyższonym standardzie.
- W uzasadnionych przypadkach dokumentacja papierowa może być niszczona za pośrednictwem firmy niszczącej dokumenty. Firma zobowiązana jest do wykazania się bezpieczną procedurą utylizacji.
Rozdział 10
Procedura napraw w serwisach zewnętrznych - Urządzenia mobilne przeznaczone do naprawy należy wysyłać bez kart pamięci.
- W przypadku naprawy sprzętu z danymi osobowymi na nośniku należy je wpierw trwale usunąć z użyciem specjalistycznego oprogramowania.
- W przypadku naprawy sprzętu z danymi osobowymi na nośniku – rekomendowane jest za-warcie specjalnego zapisu w umowie serwisowej, gwarantującego bezpieczną naprawę (należy na to zwrócić uwagę przy
zakupach sprzętu). - W przypadku naprawy sprzętu z danymi osobowymi na nośniku – rekomendowane jest przekazywanie do naprawy uszkodzonego sprzętu z danymi zaszyfrowanymi na dysku / karcie pamięci. Sprzęt przekazywany jest do serwisu bez podawania hasła.
- Rekomendowane jest korzystanie z serwisu, który dokonuje napraw u klienta (umowy gwarancyjne on-site)
Rozdział 10
Postępowanie dyscyplinarne - Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu potraktowane będą jako ciężkie naruszenie obowiązków pracowniczych lub naruszenie zasad współpracy.
- Postępowanie sprzeczne z powyższymi zasadami może też być uznane przez Pracodawcę za naruszenie przepisów karnych zawartych w ogólnym Rozporządzeniu o ochronie danych UE z dnia 27 kwietnia 2016 r. Łódź , 25 maja 2018 roku