Załącznik do Zarządzenia
nr 2/2021 Dyrektora Zespołu
Szkolno-Przedszkolnego
w Wieliczkach
Polityka bezpieczeństwa przetwarzania danych osobowych
w Zespole Szkolno-Przedszkolnym w Wieliczkach
§ 1
Źródła prawa
Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w:
§ 2
Cel dokumentu
Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką ”, jest określenie środków technicznych i organizacyjnych oraz procedur
i zasad, które zapewnią zgodny z wymogami obowiązujących aktów prawnych sposób przetwarzania informacji zawierających dane osobowe pracowników, emerytów i rencistów, uczniów i wychowanków, osób ubiegających się o zatrudnienie, odbycie stażu lub praktyki zawodowej.
§ 3
Polityka bezpieczeństwa danych osobowych opisuje zasady i procedury przetwarzania danych osobowych. Jest to zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz Administratora Danych. Polityka odnosi się całościowo do problemu zabezpieczenia danych osobowych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych.
Politykę ochrony danych osobowych stosuje się do wszelkich czynności, stanowiących w myśl RODO, przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, stosowane są zasady ujęte w Polityce.
Rygorowi Polityki podlegają także dane powierzone Administratorowi Danych do przetwarzania na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego oraz dane osobowe, które zostały Administratorowi Danych udostępnione. Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników w sposób proporcjonalny i adekwatny do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.
§ 4
Definicje
Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:
§ 5
Zasady ochrony danych osobowych
3. Bezpieczne przetwarzanie danych osobowych w Zespole zapewni ich poufność, integralność, rozliczalność oraz dostępność na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
4. Stosowane zabezpieczenia służą osiągnięciu powyższych celów i zapewnią:
5. W Organizacji przetwarzane są dane osobowe pracowników, emerytów i rencistów, uczniów i wychowanków, osób ubiegających się o zatrudnienie, odbycie stażu lub praktyki zawodowej zebrane w zbiorach danych osobowych. Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej.
6. W trakcie przyjmowania danych należy stworzyć takie warunki, aby ujawniane informacje nie miały możliwości dotrzeć do osób nieuprawnionych, szczególnie do obecnych
w pomieszczeniu osób postronnych . Dane osobowe należy odbierać w miarę możliwości
w formie pisemnej – np. poprzez żądanie okazania dowodu osobistego zamiast podawania imienia i nazwiska. Wszelkie sporządzone podczas rozmowy notatki zawierające dane osobowe, o ile nie są one potrzebne do dalszego wykorzystania, należy zniszczyć.
7. Administrator danych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczyć dane przed ich utratą, zmianą, uszkodzeniem lub zniszczeniem, przed ich udostępnieniem osobom nieuprawnionych oraz przetwarzaniem z naruszeniem ustawy.
8. Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:
1) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,
2) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
3) wszystkich pracowników, i innych osób mających dostęp do informacji podlegających ochronie.
9. Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy oraz inne osoby mające dostęp do danych osobowych podlegających ochronie.
10. Administrator danych zobowiązany jest zapewnić, aby dane osobowe były:
11. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. Osoby te są zobowiązane zachować
w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.
12. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
13. Każdy pracownik dokonujący czynności związanych z przetwarzaniem danych ponosi odpowiedzialność za bezpieczeństwo ich przetwarzania.
14. Zabrania się udostępniania danych osobowych osobom nieupoważnionym zarówno
w miejscu pracy, jak i poza nim, jeżeli nie jest to uzasadnione powierzeniem zadań związanych z ochroną danych osobowych.
15. W miejscu przetwarzania danych obowiązuje zasada „czystego biurka”. Oznacza to, że każdy pracownik zobowiązany jest do przechowywania na biurku tylko dokumentów niezbędnych mu do pracy w danym momencie i po jej zakończeniu dokumenty te niezwłocznie odkłada do szuflady lub szafy zamykanej na klucz.
16. Dokumentację podlegającą zniszczeniu utylizuje się w sposób trwały i uniemożliwiający odczytanie zawartych w niej danych (np. w niszczarce).
17. Wynoszenie poza placówkę dokumentacji zawierającej dane osobowe , zarówno w formie papierowej jak i cyfrowej, jest zabronione, z wyłączeniem sytuacji związanej
z wykonywaniem czynności służbowych.
18. W pomieszczeniach, w których przetwarzane się dane osobowe nie mogą przebywać osoby nieupoważnione bez osoby uprawnionej do przetwarzania tych danych.
19. Na czas nieobecności pracownika pomieszczenia, w których przetwarza się dane osobowe, są zamykane na klucz.
§ 6
Zadania i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych
Za niezgodnie z prawem przetwarzanie danych osobowych lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których dotyczą, grożą sankcje wynikające z przepisów RODO oraz kary na zasadach określonych w kodeksie pracy.
oraz złożenie oświadczenia o znajomości tych przepisów.
§ 7
Zadania administratora systemu informatycznego
Administrator systemu informatycznego odpowiedzialny jest za:
§ 8
Tryb postępowania z dziennikiem lekcyjnym (elektronicznym) oraz innymi dokumentami zawierającymi dane osobowe
4. Przenoszenie dzienników zajęć pozalekcyjnych przez uczniów bądź inne osoby, które nie są upoważnione do przetwarzania danych osobowych, jest bezwzględnie zakazane. Obowiązkiem nauczyciela jest pobranie i odłożenie dziennika na wyznaczone miejsce osobiście. Dopuszczalne jest przekazanie dziennika przez inną osobę, o ile posiada ona upoważnienie do przetwarzania danych osobowych obejmujące zakres danych przetwarzanych w dziennikach zajęć pozalekcyjnych.
5. Szczególnej ochronie podlegają również wszelkie inne dokumenty zawierające dane osobowe uczniów, m.in. arkusze ocen, opinie z poradni psychologiczno-pedagogicznej, klasówki, sprawdziany, listy uczniów tworzone doraźnie, dane o stanie zdrowia itp. Przekazywanie ww. dokumentów osobom nieuprawnionym jest zabronione.
6. Wynoszenie dzienników zajęć oraz innych dokumentów poza placówkę jest co do zasady zakazane. Jest to możliwe w wyjątkowych okolicznościach, np. w celu przygotowania się do zebrań z rodzicami i rady klasyfikacyjnej, po uzyskaniu wyraźniej zgody Administratora Danych. W takich przypadkach, całkowita odpowiedzialność za odpowiednie zabezpieczenie danych osobowych, spoczywa na pracowniku szkoły.
7. Sytuacje opisane w punkcie powyżej wymagają wpisu w odpowiednim rejestrze prowadzonym przez Administratora Danych.
§ 9
Zgoda na przetwarzanie danych
1. Dane osobowe mogę być przetwarzane w oparciu o:
• zgodę osoby, której dane dotyczę wraz z określeniem celu przetwarzania tych danych lub • dane niezbędne są do wykonania umowy, której stroną jest osoba, której dane dotyczą lub • dane te są niezbędne do podjęcia działań przed zawarciem umowy, z osobą której dane dotyczą,
• przetwarzanie jest niezbędne dla wykonania obowiązku prawnego ciążącego na administratorze,
• przetwarzanie jest niezbędne do ochrony żywotnych interesów, której te dane dotyczą lub innej osoby fizycznej,
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji,
w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa
i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
2. Każdej osobie fizycznej, której dane są przetwarzane należy udzielić informacji
w sposób jasny, czytelny i zrozumiały o:
• podstawie przetwarzania danych osobowych
• administratorze danych osobowych,
• Inspektorze Ochrony Danych,
• celu przetwarzania danych,
• okresie przechowywania danych,
• prawie dostępu do treści tych danych,
• prawie wniesienia skargi do Prezesa UODO,
• czy przetwarzanie wynika z obowiązku ustawowego czy umowy.
3. Informacja, o której mowa w pkt. 1 powinna również znajdować się w ogólnodostępnym miejscu w budynku szkoły a w miarę możliwości również w pozostałych zakresach.
4. W przypadku przetwarzania danych, wymagającego zgody na ich przetwarzanie,
w klauzuli informacyjnej należy umieścić oświadczenie o zgodzie na przetwarzanie danych.
5. Wzór informacji znajduje się w Załączniku nr 6
§ 10
Udostępnianie i powierzanie danych osobowych oraz udzielanie informacji
a) adresata wniosku (administrator danych),
b) wnioskodawcę
c) podstawę prawną (określenie potrzeby posiadania danych)
d) przeznaczenie danych,
e) zakres informacji.
Administrator danych odmawia ich udostępnienia w przypadku, gdy mogłoby to spowodować naruszenie dóbr osobistych osoby, której dotyczą.
a) cele przetwarzania jej danych osobowych,
b) kategorie przetwarzanych danych,
c) informacje o odbiorcach,
d) planowany okres przechowywania danych osobowych lub kryteria ustalania tego okresu,
e) informacji o prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
f) o prawie wniesienia skargi do organu nadzorczego,
g) wszelkich dostępnych informacji o źródle pozyskania danych, jeżeli nie zostały one zebrane od osoby, której dotyczą,
h) o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO a także o zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania.
§ 11
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych
Zespół Szkolno-Przedszkolny posiada uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. W celu zapewnienia poufności przy przetwarzaniu danych osobowych w ZSP Wieliczki zastosowano:
6. W Zespole Szkolno-Przedszkolnym przetwarza się dane wrażliwe :
Przetwarzanie danych wynika z odrębnych przepisów prawa i dotyczy obowiązku przeprowadzenia badań lekarskich wstępnych (przed zawarciem umowy o pracę) oraz badań lekarskich okresowych (wykonywanych w trakcie trwania zatrudnienia) i badań lekarskich pochorobowych (wykonywanych w trakcie trwania zatrudnienia, przed powrotem do pracy po nieobecności spowodowanej długotrwałym zwolnieniem lekarskim powyżej 30 dni kalendarzowych),
§ 12
Reagowanie na incydenty naruszenia bezpieczeństwa danych osobowych
1. Naruszeniem danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych, udostępnienia lub umożliwienia do nich dostępu osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:
2. Osoba, która stwierdzi przypadek naruszenia bezpieczeństwa danych osobowych, ma obowiązek niezwłocznie zgłosić ten fakt Inspektorowi ochrony danych osobowych lub administratorowi danych.
3. Pracownik, który odkrył przypadek naruszenia bezpieczeństwa danych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony oraz ustalić przyczynę i sprawcę naruszenia.
4. W przypadku stwierdzenia naruszenia bezpieczeństwa danych należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowanie zdarzenia oraz nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia IOD lub administratora danych.
5. IOD / administrator danych podejmuje wszelkie działanie zmierzające do minimalizacji rozmiaru naruszenia oraz mające na celu wyeliminowanie podobnych zagrożeń
w przyszłości.
6. Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, wszczyna się postępowanie dyscyplinarna.
7. Kara dyscyplinarna wobec osoby uchylającej się od powiadomienia o naruszeniu danych osobowych nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z ustawą o ochronie danych osobowych.
§ 13
1. Wykaz pomieszczeń, w których przetwarza się dane osobowe
pomieszczenie intendenta
|
Adres/lokalizacja |
Pomieszczenia |
|
Dane osobowe przetwarzane przez Administratora Danych |
Zespół Szkolno- Przedszkolny w Wieliczkach ul. Lipowa 10 19-404 Wieliczki |
Sekretariat , |
- kluczami dysponuje dyrektor i referent, - zapasowe klucze dostępne są w sekretariacie |
kadry |
- kluczami dysponuje kadrowa i dyrektor,
|
||
gabinet dyrektora, |
- kluczami dysponuje dyrektor, -klucze dostępne są w sekretariacie |
||
gabinet wicedyrektora |
- kluczami dysponuje wicedyrektor, -klucze dostępne są w sekretariacie |
||
gabinet pedagoga szkolnego |
- kluczami dysponuje pedagog, - klucz dostępne są w sekretariacie |
||
pokój nauczycielski
|
- kluczami dysponuje dyrektor, -zapasowy klucz dostępny w sekretariacie |
||
gabinet pielęgniarki |
- kluczami dysponuje pielęgniarka, -klucze dostępne są w sekretariacie |
||
pomieszczenie intendenta
|
- kluczami dysponuje intendent, -klucze dostępne są w sekretariacie |
||
sale lekcyjne |
- kluczami dysponują nauczyciele, -klucze dostępne są w pokoju nauczycielskim - zapasowe klucze dostępne w pomieszczeniu woźnego – w zamkniętej szafce na klucze – kluczem dysponuje woźny. |
||
księgowość |
- kluczami dysponuje główna - klucze dostępne są w |
||
archiwum |
- kluczami dysponuje - klucze dostępne są w |
Nr |
Nazwa zbioru danych |
Systemy informatyczne stosowane do przetwarzania danych osobowych w zbiorze |
Dokumentacja służąca do przetwarzania zbioru danych |
Uwagi |
1. |
Pracownicy |
System Informacji Oświatowej (SIO),
Program Płatnik,
PŁACE OPTIVUM,
Program bankowy e-corponet,
MS Office
|
Akta osobowe Sprawy socjalno-bytowe pracowników i członków ich rodzin Ewidencja czasu pracy Ewidencja osobowa pracowników Protokoły powypadkowe Arkusze organizacyjne Dokumentacja nadzoru pedagogicznego Dokumentacja awansu zawodowego nauczycieli Dokumentacja dotycząca obsługi zatrudnienia (opiniowanie awansów, wyróżnień, odznaczeń, nagród, wnioski o odznaczenia, itp;) Ewidencja osób upoważnionych do przetwarzania danych osobowych. |
Dane osobowe pracowników i byłych pracowników |
2. |
Zapotrzebowanie i nabór kandydatów do pracy |
Sposób tradycyjny (forma papierowa) |
CV kandydatów na pracowników |
|
3. |
Uczniowie |
System Informacji Oświatowej (SIO)
SIOEO (egzamin ósmoklasisty)
LIBRUS e-dziennik e-świadectwa
MS Office
Sposób tradycyjny |
Karty zapisu dziecka/ucznia Księga uczniów Księga dzieci Arkusze ocen Dzienniki nauczania indywidualnego Dzienniki zajęć specjalistycznych Dzienniki zajęć pozalekcyjnych Dziennik zajęć z art.42 KN Dziennik świetlicy Dziennik pedagoga Pomoc społeczna, stypendia, wyprawki, obiady Księga wydanych legitymacji i legitymacje Rejestr zaświadczeń i zaświadczenia Świadectwa i duplikaty Dokumentacja ubezpieczeniowa Protokoły powypadkowe Karta zdrowia ucznia Karty szczepień Karty biblioteczne Dokumentacja pomocy psychologiczno - pedagogicznej (opinie, orzeczenia) Ewidencja uczniów przystępujących do egzaminów zewnętrznych Dokumenty zarchiwizowane Ewidencja decyzji – zwolnienia z obowiązkowych zajęć, odroczenia obowiązku szkolnego Deklaracje uczęszczania na religię, sprzeciw od zajęć z wychowania do życia w rodzinie |
Dane uczniów |
4. |
Korespondencja |
Forma tradycyjna (papierowa) forma elektroniczna (e’mail) |
Księga korespondencji |
Rejestr korespondencji wychodzącej i przychodzącej |
5. |
Kontrahenci |
MS Office |
Umowy |
Dane osób fizycznych prowadzących działalność gospodarczą, dostawców towarów i usług dla szkoły |
6. |
Konkursy |
MS Office |
Dokumentacja konkursowa |
Dane uczniów z innych szkół biorących udział w konkursach organizowanych przez placówkę |
7. |
Uczniowie z obwodu realizujący obowiązek szkolny w innych szkołach |
|
Księga ewidencji uczniów |
Dane dzieci z obwodu szkoły realizujących obowiązek szkolny w innych szkołach |
8. |
Rekrutacja uczniów do szkoły |
MS Office |
Wnioski rodziców Wykaz uczniów
|
|
9. |
Rekrutacja dzieci do przedszkola |
MS Office |
Karty zapisu dziecka do przedszkola Wykaz dzieci |
|
10. |
Upoważnienia do odbioru dziecka z przedszkola/ świetlicy |
MS Office |
Zbiór upoważnień
|
|
12. |
Praktyki studenckie |
|
Umowy z uczelnią.
|
|
§ 14
Postanowienia końcowe
Załączniki
Dodatkowymi dokumentami regulującymi ochronę danych osobowych w Zespole są: