Załącznik do Zarządzenia
               nr 2/2021 Dyrektora Zespołu       
        Szkolno-Przedszkolnego
w Wieliczkach

Polityka bezpieczeństwa  przetwarzania danych  osobowych
w Zespole Szkolno-Przedszkolnym w Wieliczkach

§ 1
 Źródła prawa

Polityka bezpieczeństwa została opracowana  w oparciu o wymagania  zawarte w:

• Rozporządzeniu Parlamentu Europejskiego i Rady - RODO(UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L nr 119),
• Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz.1000).

§ 2

Cel dokumentu

Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej „Polityką ”,  jest określenie środków technicznych i organizacyjnych oraz procedur
i zasad, które zapewnią  zgodny z wymogami obowiązujących aktów prawnych sposób przetwarzania informacji zawierających dane osobowe pracowników, emerytów i rencistów, uczniów i wychowanków, osób ubiegających się o zatrudnienie, odbycie stażu lub praktyki zawodowej.

§ 3

Polityka bezpieczeństwa danych osobowych opisuje zasady i procedury przetwarzania danych osobowych. Jest to zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz Administratora Danych. Polityka odnosi się całościowo do problemu zabezpieczenia danych osobowych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych.

Politykę ochrony danych osobowych stosuje się do wszelkich czynności, stanowiących w myśl RODO, przetwarzanie danych osobowych. Bez względu na źródło pochodzenia danych osobowych, ich zakres, cel zebrania, sposób przetwarzania lub czas przetwarzania, stosowane są zasady ujęte w Polityce.

Rygorowi Polityki podlegają także dane powierzone Administratorowi Danych do przetwarzania na podstawie umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego oraz dane osobowe, które zostały Administratorowi Danych udostępnione. Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników w sposób  proporcjonalny i adekwatny do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.

§ 4

Definicje

Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć:

1. administrator danych osobowych – Zespół Szkolno-Przedszkolny w Wieliczkach, w imieniu którego działa dyrektor,
2. inspektor ochrony danych – osoba wyznaczona przez administratora danych, koordynująca procesy związane z przestrzeganiem zasad ochrony danych osobowych w ramach procesów przetwarzania danych osobowych zachodzących w strukturze administratora danych,
3. ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz. 1000),
4. RODO – rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/,
5. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
6. pseudonimizacja – przetwarzanie danych osobowych w taki sposób, by bez użycia dodatkowych informacji nie można było ich przypisać konkretnej osobie, pod warunkiem że te dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi uniemożliwiającymi przypisanie ich konkretnej osobie,
7. przetwarzanie danych – każda czynność wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd.,
8. system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
9. system tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
10. zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
11. administrator systemu informatycznego – osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,
12. odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia,
13. strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe,
14. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,
15. naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia,  zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.

§ 5

Zasady ochrony danych osobowych

1. Administratorem danych osobowych jest Zespół Szkolno- Przedszkolny w Wieliczkach,
   w którego skład wchodzą: Szkoła Podstawowa w Wieliczkach, Filia Szkoły Podstawowej
   w Wieliczkach z siedzibą w Cimochach, Przedszkole Samorządowe w Wieliczkach, Filia Przedszkola Samorządowego w Wieliczkach z siedzibą w Cimochach, reprezentowany przez dyrektora zespołu.  Adres siedziby zespołu:
   ul. Lipowa 10, 19-404 Wieliczki, nr tel./fax : 87 521 42 36,
   adres e’mail : spwieliczki@wp.pl.

 

2. Administrator danych osobowych  powołał Panią Dorotę Jankowską na inspektora ochrony danych, zgodnie  art. 37 RODO. Kontakt z Inspektorem ochrony danych możliwy jest pod numerem tel. nr. 87 521 42 36 lub adresem email: boswieliczki@op.pl

 

3. Bezpieczne przetwarzanie danych osobowych w Zespole zapewni ich poufność, integralność, rozliczalność oraz dostępność na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.
 

4. Stosowane zabezpieczenia służą osiągnięciu powyższych celów i zapewnią:

1. poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
2. integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
3. rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
4. integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
5. dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
6. zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

 5. W Organizacji przetwarzane są  dane osobowe pracowników, emerytów i rencistów, uczniów i wychowanków, osób ubiegających się o zatrudnienie, odbycie stażu lub praktyki zawodowej zebrane w zbiorach danych osobowych. Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej.  

6. W trakcie przyjmowania danych należy stworzyć takie warunki, aby ujawniane informacje nie miały możliwości dotrzeć do osób nieuprawnionych, szczególnie do obecnych
w pomieszczeniu osób postronnych . Dane osobowe należy odbierać w miarę możliwości
w formie pisemnej – np. poprzez żądanie okazania dowodu osobistego zamiast podawania imienia i nazwiska. Wszelkie sporządzone podczas rozmowy notatki zawierające dane osobowe, o ile nie są one potrzebne do dalszego wykorzystania, należy zniszczyć.

7. Administrator danych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczyć dane przed ich utratą, zmianą, uszkodzeniem lub zniszczeniem, przed ich udostępnieniem osobom nieuprawnionych oraz przetwarzaniem z naruszeniem ustawy.

8. Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do:

1) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie,

2) wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,

3) wszystkich pracowników, i innych osób mających dostęp do informacji podlegających ochronie.

9. Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy oraz inne osoby mające dostęp do danych osobowych podlegających ochronie.

10. Administrator danych zobowiązany jest  zapewnić, aby dane osobowe były:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość);
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu);
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych); przetwarzane zgodnie z prawem
• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (prawidłowość);
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania);
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

11. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. Osoby te są zobowiązane zachować
w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.

12. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

13. Każdy pracownik dokonujący czynności związanych z przetwarzaniem danych ponosi odpowiedzialność za bezpieczeństwo ich przetwarzania.

14. Zabrania się udostępniania danych osobowych osobom nieupoważnionym zarówno
w miejscu pracy, jak i poza nim, jeżeli nie jest to uzasadnione powierzeniem zadań związanych z ochroną danych osobowych.

15. W miejscu przetwarzania danych obowiązuje zasada „czystego biurka”. Oznacza to, że każdy pracownik zobowiązany jest do przechowywania na biurku tylko dokumentów niezbędnych mu do pracy w danym momencie i po jej zakończeniu dokumenty te niezwłocznie odkłada do szuflady lub szafy zamykanej na klucz.

16. Dokumentację podlegającą zniszczeniu utylizuje się w sposób trwały i uniemożliwiający odczytanie zawartych w niej danych (np. w niszczarce).

17. Wynoszenie poza placówkę dokumentacji zawierającej dane osobowe , zarówno w formie papierowej jak i cyfrowej, jest zabronione, z wyłączeniem sytuacji związanej
z wykonywaniem czynności służbowych.

18. W pomieszczeniach, w których przetwarzane się dane osobowe nie mogą przebywać osoby nieupoważnione bez osoby uprawnionej do przetwarzania tych danych.

19. Na czas nieobecności pracownika pomieszczenia, w których przetwarza się dane osobowe, są zamykane na klucz.

§ 6

Zadania i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych

Za niezgodnie z prawem przetwarzanie danych osobowych lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których dotyczą, grożą sankcje wynikające z przepisów RODO oraz kary   na zasadach określonych w kodeksie pracy.

1. Do zadań Administratora Danych Osobowych należy:

1. organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych,
2. zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi,
3. przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych – w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych,
4. wydawanie i anulowanie upoważnień do przetwarzania danych osobowych,
5. prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych,
6. nadzór nad bezpieczeństwem danych osobowych,
7. kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
8. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.
1. Inspektor ochrony danych prowadzi okresowe kontrole funkcjonowania systemu ochrony danych osobowych

2. Zadania Inspektora Ochrony Danych :
   1. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
   2. informowanie administratora  oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów prawa o ochronie danych i doradzanie im w tej sprawie;
   3. monitorowanie przestrzegania przepisów o ochronie danych oraz wewnętrznych regulacji firmy w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania
   4. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania  ,
   5. współpraca z organem nadzorczym (Urząd Ochrony Danych Osobowych)
   6. pełnienie funkcji punktu kontaktowego dla organu nadzorczego oraz dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych.
3. Obowiązki pracownika przetwarzającego dane
   1. ochrona prawa do prywatności osób fizycznych powierzających Administratorowi swoje dane osobowe poprzez przetwarzanie ich zgodnie z przepisami RODO oraz zasadami określonymi w Polityce bezpieczeństwa przetwarzania danych osobowych i Instrukcji zarządzania systemem informatycznym ZSP Wieliczki,
   2. zapoznanie się z zasadami Polityki bezpieczeństwa przetwarzania danych osobowych i Instrukcji zarządzania systemem informatycznym ZSP Wieliczki,

oraz złożenie oświadczenia o znajomości tych przepisów.

§ 7

Zadania administratora systemu informatycznego

Administrator systemu informatycznego odpowiedzialny jest za:

1. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych,
2. optymalizację wydajności systemu informatycznego, instalacje i konfiguracje sprzętu sieciowego i serwerowego,
3. instalacje i konfiguracje oprogramowania systemowego, sieciowego,
4. konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem,
5. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych,
6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych,
7. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,
8. zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie,
1. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji,
10.  przyznawanie na wniosek administratora danych osobowych lub inspektora ochrony danych ściśle określonych praw dostępu do informacji w danym systemie,
11.  wnioskowanie do administratora danych osobowych lub inspektora ochrony danych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń,
50.  zarządzanie licencjami, procedurami ich dotyczącymi,
1000.  prowadzenie profilaktyki antywirusowej.

2. Praca administratora systemu informatycznego jest nadzorowana pod względem przestrzegania RODO, ustawy o ochronie danych osobowych  oraz Polityki bezpieczeństwa ZSP Wieliczki przez administratora danych lub inspektora ochrony danych.

§ 8

Tryb postępowania z dziennikiem lekcyjnym (elektronicznym) oraz innymi dokumentami zawierającymi dane osobowe

 

1. 1. 1. 1. 1. 1. 1. W Zespole Szkolno- Przedszkolnym w Wieliczkach funkcjonuje dziennik elektroniczny. Zasady postępowania z dziennikiem elektronicznym opisuje załącznik nr 1 „Zasady funkcjonowania dziennika elektronicznego w Zespole Szkolno- Przedszkolnym w Wieliczkach”, który obowiązuje wszystkich pracowników placówki.
                  2. Pokój nauczycielski jest miejscem szczególnie chronionym, nie może w nim przebywać osoba postronna bez nadzoru przynajmniej jednej osoby posiadającej upoważnienie do przetwarzania danych osobowych.
                  3. Dzienniki  zajęć pozalekcyjnych są przechowywane w pokoju nauczycielskim, w specjalnie do tego wyznaczonym miejscu, w szafie zamykanej na klucz.
                  4. W ciągu dnia pokój nauczycielski pozostaje otwarty. Po zakończeniu zajęć zamykany jest na klucz. Klucz do pokoju nauczycielskiego posiada wyznaczona specjalnie do tego osoba.

4.  Przenoszenie dzienników zajęć pozalekcyjnych przez uczniów bądź inne osoby, które nie są upoważnione do przetwarzania danych osobowych, jest bezwzględnie zakazane. Obowiązkiem nauczyciela jest pobranie i odłożenie dziennika na wyznaczone miejsce osobiście. Dopuszczalne jest przekazanie dziennika przez inną osobę, o ile posiada ona upoważnienie do przetwarzania danych osobowych obejmujące zakres danych przetwarzanych w dziennikach zajęć pozalekcyjnych.

5.  Szczególnej ochronie podlegają również wszelkie inne dokumenty zawierające dane osobowe uczniów, m.in. arkusze ocen, opinie z poradni psychologiczno-pedagogicznej, klasówki, sprawdziany, listy uczniów tworzone doraźnie, dane o stanie zdrowia itp. Przekazywanie ww. dokumentów osobom nieuprawnionym jest zabronione.

6. Wynoszenie dzienników zajęć oraz innych dokumentów poza placówkę jest co do zasady zakazane. Jest to  możliwe w wyjątkowych okolicznościach, np. w celu przygotowania się do zebrań z rodzicami i rady klasyfikacyjnej, po uzyskaniu wyraźniej zgody Administratora Danych. W takich przypadkach, całkowita odpowiedzialność za odpowiednie zabezpieczenie danych osobowych, spoczywa na pracowniku szkoły.

    7. Sytuacje opisane w punkcie powyżej wymagają wpisu w odpowiednim rejestrze prowadzonym    przez Administratora Danych.

§ 9

Zgoda na przetwarzanie danych

1. Dane osobowe mogę być przetwarzane w oparciu o:

• zgodę osoby, której dane dotyczę wraz z określeniem celu przetwarzania tych danych lub • dane niezbędne są do wykonania umowy, której stroną jest osoba, której dane dotyczą lub • dane te są niezbędne do podjęcia działań przed zawarciem umowy, z osobą której dane dotyczą,
• przetwarzanie jest niezbędne dla wykonania obowiązku prawnego ciążącego na administratorze,
• przetwarzanie jest niezbędne do ochrony żywotnych interesów, której te dane dotyczą lub innej osoby fizycznej,
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji,
w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa
i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych,
w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

2. Każdej osobie fizycznej, której dane są przetwarzane należy udzielić informacji 
w sposób jasny, czytelny i zrozumiały o: 

• podstawie przetwarzania danych osobowych
• administratorze danych  osobowych,
• Inspektorze Ochrony Danych,
• celu przetwarzania danych,
• okresie przechowywania danych, 
• prawie dostępu do treści tych danych,
• prawie wniesienia skargi do Prezesa UODO,
• czy przetwarzanie wynika z obowiązku ustawowego czy umowy.

3. Informacja, o której mowa w pkt. 1 powinna również znajdować się  w ogólnodostępnym miejscu w budynku szkoły a w miarę możliwości również w pozostałych zakresach. 

4. W przypadku przetwarzania danych, wymagającego zgody na ich przetwarzanie, 
w klauzuli informacyjnej należy umieścić oświadczenie o zgodzie na przetwarzanie danych.

5. Wzór informacji znajduje się w Załączniku nr 6

§ 10

Udostępnianie i powierzanie danych osobowych oraz udzielanie informacji

1. Dane osobowe można udostępnić z mocy przepisów prawa lub jeśli podmiot/osoba występujący o ich udostępnienie w sposób wiarygodny uzasadni potrzebę ich uzyskania i posiadania, a udostępnienie danych nie naruszy praw i wolności osób, których te dane dotyczą. Udostępnienie danych następuje na pisemny wniosek zawierający:

a) adresata wniosku (administrator danych),

b) wnioskodawcę

c) podstawę prawną (określenie potrzeby posiadania danych)

d) przeznaczenie danych,

e) zakres informacji.

Administrator danych odmawia ich udostępnienia w przypadku, gdy mogłoby to spowodować naruszenie dóbr osobistych osoby, której dotyczą.

2. Powierzenie danych może nastąpić wyłącznie na podstawie umowy zawartej w formie pisemnej, w której osoba przyjmująca dane zobowiązuje się do przestrzegania przepisów o ochronie danych osobowych. W umowie podaje się podstawę prawną powierzenia, cel i sposób przetwarzania danych.
3. Każda osoba fizyczna może zwrócić się do Administratora z wnioskiem o udzielenie informacji dotyczącej przetwarzania jej danych osobowych. Jeśli ma to miejsce, osoba ta ma prawo uzyskania dostępu do tych danych oraz następujących informacji:

a) cele przetwarzania jej danych osobowych,

b) kategorie przetwarzanych danych,

c) informacje o odbiorcach,

d) planowany okres przechowywania danych osobowych lub kryteria ustalania tego okresu,

e) informacji o prawie do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych oraz do wniesienia sprzeciwu wobec takiego przetwarzania,

f) o prawie wniesienia skargi do organu nadzorczego,

g) wszelkich dostępnych informacji o źródle pozyskania danych, jeżeli nie zostały one zebrane od osoby, której dotyczą,

h) o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO a także o zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania.

4. Osobie zwracającej się o udzielenie informacji drogą elektroniczną udziela się tej informacji powszechnie stosowaną w Zespole drogą elektroniczną, o ile zwracający się nie zaznaczy inaczej.
5. Przy udzielaniu informacji drogą telefoniczną należy zachować szczególną ostrożność. Pracownik udzielający informacji, przed jej udzieleniem zobowiązany jest upewnić się, że ma do czynienia z osobą uprawnioną do jej  uzyskania. W przypadku wystąpienia wątpliwości informacji nie można udzielić.

 § 11

Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych osobowych

Zespół Szkolno-Przedszkolny posiada uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. W celu zapewnienia poufności przy przetwarzaniu danych osobowych w ZSP Wieliczki zastosowano:

1. W przypadku zewnętrznych systemów informatycznych dla potrzeb bieżącego użytkowania i przesyłania danych stosowane są zabezpieczenia podmiotów, którym są one przekazywane:

• „Płatnik” (program ZUS) – ZSP Wieliczki posiada certyfikowany publiczny klucz dostępu do tego programu wydawany na czas określony, ponadto co 30 dni zmieniane jest hasło dostępu do programu (program przypomina o upływie terminu ważności hasła).  Gwarancję zachowania poufności danych stanowi także ograniczony krąg osób upoważnionych do jego obsługi. Osobą mającą dostęp do programu jest specjalista ds. kadrowo-płacowych a w przypadku jego nieobecności zastępuje go główny księgowy.
• Program do prowadzenia sprawozdawczości projektów realizowanych w ramach Programu Operacyjnego Kapitał Ludzki „Formularz PEFS 2007” – dostęp do programu chroniony jest wymogiem podania loginu i hasła, gwarancję zachowania poufności danych stanowi ograniczony krąg osób upoważnionych do jego obsługi Są to: ABI PEFS 2007, kierownicy/koordynatorzy projektów i upoważnieni specjaliści ds. monitoringu i ewaluacji. Dane przekazywane są w formie papierowej i elektronicznie.
• System Bankowości Korporacyjnej eCorpoNet zapewniający realizację przelewów bankowych wymaga podania loginu i hasła, a każda osoba upoważniona do dokonywania przelewów posiada indywidualny klucz dostępu. Ograniczony krąg osób upoważnionych do jego obsługi stanowi  gwarancję zachowania poufności danych. Dostęp do rachunków bankowych mają następujące osoby:

• Marek Dobrzyń – dyrektor ZSP
• Łucja Tomkiewicz – główny księgowy
• Dorota Jankowska – specjalista ds. kadrowo-płacowych
• Sylwia Balińska - Wicedyrektor
• Katarzyna Wasilewska – referent, w zakresie sporządzania przelewów.

2. W ZSP Wieliczki w celu ochrony danych osobowych przetwarzanych w edytorach tekstu, arkuszach kalkulacyjnych i innych programach do tworzenia baz danych a także
   w używanych systemach informatycznych stosuje się zapory systemu WINDOWS oraz systemy antywirusowe:  ESET NOD32, KASPERSKY,

 

3. Elektroniczne przetwarzanie danych osobowych odbywa się na komputerach stacjonarnych.  Programy, w których przetwarzane są dane osobowe zabezpieczone są hasłami uniemożliwiającymi nieuprawnione korzystanie osobom  nieupoważnionym. Loginy i hasła przechowywane są w metalowych  zamykanych szafach. W razie wystąpienia konieczności uzyskania dostępu do któregoś z komputerów w czasie nieobecności pracownika użytkującego komputer, AD może otworzyć kopertę i umożliwić wykonanie niezbędnych czynności innemu pracownikowi.
4. Monitory komputerów  ustawione  są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
5. Komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła

6.    W Zespole Szkolno-Przedszkolnym przetwarza się dane wrażliwe :

1. dane o stanie zdrowia pracowników.

Przetwarzanie danych wynika z odrębnych przepisów prawa i dotyczy obowiązku przeprowadzenia badań lekarskich wstępnych (przed zawarciem umowy o pracę) oraz badań lekarskich okresowych (wykonywanych w trakcie trwania zatrudnienia) i badań lekarskich pochorobowych (wykonywanych w trakcie trwania zatrudnienia, przed powrotem do pracy po nieobecności spowodowanej długotrwałym zwolnieniem lekarskim powyżej 30 dni kalendarzowych),

2. dane o wysokości emerytur i rent pobieranych przez nauczycieli emerytów i rencistów z placówek oświatowych w Gminie Wieliczki. Przetwarzanie danych wynika z odrębnych przepisów prawa i dotyczy obowiązku naliczania funduszu świadczeń socjalnych dla nauczycieli emerytów w wysokości 5 % wysokości pobieranych przez nich rent i emerytur.

 

6. Zbiory danych osobowych przechowywane są w pomieszczeniach zamykanych na klucz, w szafach metalowych i niemetalowych zamykanych na klucz.
7.  Dostęp do pomieszczeń, w których są przetwarzane i przechowywane dane osobowe kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
8. Zbiory danych osobowych w formie papierowej i kopie zapasowe przechowywane są w szafach metalowych i w sejfie.
9. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny w niszczarkach dokumentów.
10. Pracownicy ZSP Wieliczki zostali zapoznani z „Polityką bezpieczeństwa” i przeszkoleni w zakresie ochrony danych osobowych.

 

§ 12

Reagowanie na incydenty naruszenia bezpieczeństwa danych osobowych

1. Naruszeniem danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych, udostępnienia lub umożliwienia do nich dostępu osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:

• nieautoryzowany dostęp do danych
• nieautoryzowane modyfikacje lub zniszczenie danych,
• udostepnienie danych nieautoryzowanym podmiotom,
• nielegalne ujawnienie danych,
• pozyskiwanie danych z nielegalnych źródeł.

2. Osoba, która stwierdzi przypadek naruszenia bezpieczeństwa danych osobowych, ma obowiązek niezwłocznie zgłosić ten fakt Inspektorowi ochrony danych osobowych lub administratorowi danych.

3. Pracownik, który odkrył przypadek naruszenia bezpieczeństwa danych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony oraz ustalić przyczynę i sprawcę naruszenia.

4. W przypadku stwierdzenia naruszenia bezpieczeństwa danych należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowanie zdarzenia oraz nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia IOD lub administratora danych.

5. IOD / administrator danych podejmuje wszelkie działanie zmierzające do minimalizacji rozmiaru naruszenia oraz mające na celu wyeliminowanie podobnych zagrożeń
w przyszłości. 

6. Wobec osoby, która w przypadku naruszenia ochrony danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, wszczyna się postępowanie dyscyplinarna.

7. Kara dyscyplinarna wobec osoby uchylającej się od powiadomienia o naruszeniu danych osobowych nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z ustawą o ochronie danych osobowych.

§ 13

1. Wykaz pomieszczeń, w których przetwarza się dane osobowe

 

pomieszczenie intendenta	Adres/lokalizacja	Pomieszczenia
Dane osobowe przetwarzane przez Administratora Danych	Zespół Szkolno- Przedszkolny w Wieliczkach ul. Lipowa 10 19-404 Wieliczki	Sekretariat ,	- kluczami dysponuje dyrektor i referent, - zapasowe klucze dostępne są w sekretariacie
		kadry	- kluczami dysponuje kadrowa i dyrektor,
		gabinet dyrektora,	- kluczami dysponuje dyrektor, -klucze dostępne są w sekretariacie
		gabinet wicedyrektora	- kluczami dysponuje wicedyrektor, -klucze dostępne są w sekretariacie
		gabinet pedagoga szkolnego	- kluczami dysponuje pedagog, - klucz dostępne są w sekretariacie
		pokój nauczycielski	- kluczami dysponuje dyrektor, -zapasowy klucz dostępny  w sekretariacie
		gabinet pielęgniarki	- kluczami dysponuje pielęgniarka, -klucze dostępne są w sekretariacie
		pomieszczenie intendenta	- kluczami dysponuje intendent, -klucze dostępne są w sekretariacie
		sale lekcyjne	- kluczami dysponują nauczyciele, -klucze dostępne są w pokoju nauczycielskim - zapasowe klucze dostępne w pomieszczeniu woźnego – w zamkniętej szafce na klucze – kluczem dysponuje woźny.
		księgowość	- kluczami dysponuje główna          księgowa - klucze dostępne są w   sekretariacie
		archiwum	- kluczami dysponuje   dyrektor, - klucze dostępne są w   sekretariacie

 

 

 

 

 

 

 

 

 

 

2. Wykaz zbiorów danych wraz ze wskazaniem programów stosowanych do przetwarzania tych danych

 

Nr	Nazwa zbioru danych	Systemy informatyczne stosowane do przetwarzania danych osobowych w zbiorze	Dokumentacja służąca do przetwarzania zbioru danych	Uwagi
1.	Pracownicy	System Informacji Oświatowej (SIO),   Program Płatnik,   PŁACE OPTIVUM,   Program bankowy e-corponet,   MS Office	Akta osobowe Sprawy socjalno-bytowe pracowników i członków ich rodzin Ewidencja czasu pracy Ewidencja osobowa pracowników Protokoły powypadkowe Arkusze organizacyjne Dokumentacja nadzoru pedagogicznego Dokumentacja awansu zawodowego nauczycieli Dokumentacja dotycząca obsługi zatrudnienia (opiniowanie awansów, wyróżnień, odznaczeń, nagród, wnioski o odznaczenia, itp;) Ewidencja osób upoważnionych do przetwarzania danych osobowych.	Dane osobowe pracowników i byłych pracowników
2.	Zapotrzebowanie i nabór kandydatów do pracy	Sposób tradycyjny (forma papierowa)	CV kandydatów na pracowników
3.	Uczniowie	System Informacji Oświatowej (SIO)   SIOEO (egzamin ósmoklasisty)   LIBRUS e-dziennik e-świadectwa e-sekretariat   MS Office   Sposób tradycyjny	Karty zapisu dziecka/ucznia Księga uczniów Księga dzieci Arkusze ocen Dzienniki nauczania indywidualnego Dzienniki zajęć specjalistycznych Dzienniki zajęć pozalekcyjnych Dziennik zajęć z art.42 KN Dziennik świetlicy Dziennik pedagoga Pomoc społeczna, stypendia, wyprawki, obiady Księga wydanych legitymacji i legitymacje Rejestr zaświadczeń i zaświadczenia Świadectwa i duplikaty Dokumentacja ubezpieczeniowa Protokoły powypadkowe Karta zdrowia ucznia Karty szczepień Karty biblioteczne Dokumentacja pomocy psychologiczno - pedagogicznej (opinie, orzeczenia) Ewidencja uczniów przystępujących do egzaminów zewnętrznych Dokumenty zarchiwizowane Ewidencja decyzji – zwolnienia z obowiązkowych zajęć, odroczenia obowiązku szkolnego Deklaracje uczęszczania na religię, sprzeciw od zajęć z wychowania do życia w rodzinie	Dane uczniów
4.	Korespondencja	Forma tradycyjna (papierowa) forma elektroniczna (e’mail)	Księga korespondencji	Rejestr korespondencji wychodzącej i przychodzącej
5.	Kontrahenci	MS Office	Umowy	Dane osób fizycznych prowadzących działalność gospodarczą, dostawców towarów i usług dla szkoły
6.	Konkursy	MS Office	Dokumentacja konkursowa	Dane uczniów z innych szkół biorących udział w konkursach organizowanych przez placówkę
7.	Uczniowie z obwodu realizujący obowiązek szkolny w innych szkołach		Księga ewidencji uczniów	Dane dzieci z obwodu szkoły realizujących obowiązek szkolny w innych szkołach
8.	Rekrutacja uczniów do szkoły	MS Office	Wnioski rodziców Wykaz uczniów
9.	Rekrutacja dzieci do przedszkola	MS Office	Karty zapisu dziecka do przedszkola Wykaz dzieci
10.	Upoważnienia do odbioru dziecka z przedszkola/ świetlicy	MS Office	Zbiór upoważnień
12.	Praktyki studenckie		Umowy z uczelnią.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

§ 14

Postanowienia końcowe

1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych.
2. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych, 
3. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o  zachowaniu poufności i zapoznaniu się z przepisami dotyczącymi przetwarzania danych osobowych .

 

Załączniki

Dodatkowymi dokumentami regulującymi ochronę danych osobowych w Zespole są:   

1. Zasady funkcjonowania dziennika elektronicznego w Zespole Szkolno- Przedszkolnym
   w Wieliczkach,
2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych ,
3. Rejestr czynności przetwarzania danych osobowych,
4. Ewidencja osób upoważnionych do przetwarzania danych osobowych,
5. Wzór upoważnienia do przetwarzania danych osobowych (pracownik administracji, nauczyciel, nauczyciel przedszkola),
6. Oświadczenie pracownika o zachowaniu poufności.