Zarządzenie Nr 2/2012
ZARZADZENIE NR 2/2012
Dyrektora Szkoły Podstawowej w Złotorii z dnia 19 stycznia 2012 roku
w sprawie wprowadzenia instrukcji ochrony danych osobowych oraz instrukcji postępowania w sytuacji naruszenia danych osobowych
Działając na podstawie art.36 w związku z art. 3 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z póz. zm.) zarządzam, co następuje:
§ 1
Wprowadzam Instrukcję w sprawie ochrony danych osobowych – załącznik Nr 1 do niniejszego zarządzenia i Instrukcję postępowania w sytuacji naruszenia danych osobowych – załącznik Nr 2 do niniejszego zarządzenia.
§ 2
Zarządzenie wchodzi w życie z dniem podpisania.
Załącznik Nr 1 do Zarządzenia Nr 2/2012
Instrukcja
w sprawie ochrony danych osobowych obowiązująca w Szkole Podstawowej w Złotorii
W celu zapewnienia ochrony przetwarzanych danych osobowych administrator danych osobowych, Szkoła Podstawowa w Złotorii, na podstawie art. 36 w związku z art. 3 i 7 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) wprowadza poniższą instrukcję.
§ 1
Ilekroć w instrukcji jest mowa o:
1) Administratorze danych – rozumie się przez to Szkołę Podstawową w Złotorii,
2) Zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
3) Przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
4) Placówce – rozumie się przez to Szkołę Podstawową w Złotorii,
5) Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
6) Zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
7) Usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
8) Zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie: zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,
9) Osobie zatrudnionej przy przetwarzaniu danych osobowych – rozumie się przez to pracownika administratora danych, który ma dostęp do zbiorów danych osobowych,
10) Reprezentancie – rozumie się przez to osobę uprawnioną do składania oświadczeń woli w imieniu administratora danych,
11) Osobie nieuprawnionej – rozumie się przez to osobę niezatrudnioną przy gromadzeniu lub przetwarzaniu danych (z wyłączeniem osoby uprawnionej do ich przeglądania i przetwarzania na mocy odrębnych przepisów), a także osobę, której dane osobowe nie podlegają przetwarzaniu we właściwych zbiorach danych).
Przepisy ogólne
§ 2
1. Przetwarzanie danych osobowych do celów związanych z działalnością administratora danych jest zgodne z prawem w sytuacji, gdy dane te zostały uzyskane od osoby, której dotyczą i wyraziła ona na ich przetwarzanie zgodę.
2. W sytuacji, gdy dane osobowe nie zostały uzyskane od osoby, której dotyczą, ich przetwarzanie jest zgodne z prawem, gdy przepis szczególny tak stanowi.
3. Usunięcie danych nie wymaga zgody osoby, której dotyczą.
4. Ocena niezbędności przetwarzania danych do wypełnienia usprawiedliwionych celów administratora danych powinna być dokonywana indywidualnie w każdej sytuacji - w razie wątpliwości należy kontaktować się z reprezentantem.
§ 3
1. Administrator danych gromadzi i przetwarza dane osobowe w następujących celach:
a) Wykonywanie obowiązków pracodawcy w zakresie zatrudnienia pracowników (dokumentacja i przebieg zatrudnienia oraz płace pracowników)
b) Realizacja zadań statutowych w stosunku do dzieci, ich prawnych opiekunów oraz innych osób korzystających z usług świadczonych przez administratora danych, w zakresie wykonywanych zadań.
2. W przypadku zbierania danych osobowych od osoby, której one dotyczą, w wypadkach przewidzianych ustawą należy poinformować tę osobę o:
a) adresie swojej siedziby i pełnej nazwie,
b) celu zbierania danych, a w szczególności o znanych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
c) prawie wglądu do swoich danych oraz ich poprawiania,
d) dobrowolności lub obowiązku podania danych - jeżeli taki obowiązek istnieje, o jego podstawie prawnej,
3. Powyższy obowiązek administrator danych nakłada na osoby zatrudnione przy gromadzeniu i przetwarzaniu danych osobowych, zobowiązując je do jego należytego wykonywania.
§ 4
1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
a) adresie swojej siedziby i pełnej nazwie,
b) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
c) źródle danych
d) prawie wglądu do swoich danych oraz ich poprawiania,
e) prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, jeżeli nawet przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą
f) prawie wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
2. Powyższy obowiązek administrator danych nakłada na osoby zatrudnione przy przetwarzaniu danych osobowych, zobowiązując je do jego należytego wykonywania.
Udostępnianie danych ze zbioru.
§ 5
1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach, a zwłaszcza wskazać w formie zrozumiałej odnośnie danych osobowych jej dotyczących:
a) jakie dane osobowe zawiera zbiór
b) w jaki sposób zebrano dane
c) w jakim celu i zakresie dane są przetwarzane
d) w jakim zakresie oraz komu dane zostały udostępnione.
2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust.1, udziela się na piśmie.
§ 6
1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:
a) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy,
b) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze
c) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych
d) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące
e) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępnione,
f) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji, dla którego zostały zebrane
g) prawie wniesienia pisemnego, umotywo0wanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, jeżeli nawet przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą,
h) wniesienie sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy przetwarzanie jest niezbędne do wypełnienia usprawiedliwionych celów administratora danych, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,
i) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem zakazu ostatecznego rozstrzygnięcia indywidualnej sprawy, gdy treść była wyłącznie wynikiem operacji na danych osobowych prowadzonych w systemie informatycznym
2. Osoba zainteresowana może skorzystać z prawa do informacji nie częściej niż raz na 6 miesięcy.
§ 7
1. W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba ze dotyczy to danych osobowych, w odniesieniu, do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
2. Każda z osób zatrudnionych przy przetwarzaniu danych w razie powzięcia takiej wiadomości ma obowiązek o wystąpieniu osoby, której dane dotyczą, poinformować reprezentanta.
Gromadzenie i przetwarzanie danych osobowych
§ 8
1. W siedzibie administratora tworzy się następujące zbiory danych osobowych:
a) w stosunku do pracowników, kadry i personelu:
1. akta osobowe tych osób
2. ewidencja zwolnień lekarskich,
3. ewidencja osób zatrudnionych przy ewidencji danych osobowych,
4. listy płac (w systemie informatycznym)
5. kartoteki zarobków pracowników,
6. ewidencja urlopów pracowników,
7. rejestr delegacji służbowych personelu,
8. deklaracje ubezpieczeniowe pracowników,
9. deklaracje i kartoteki ZUS pracowników,
10. oświadczenia podatkowe pracowników
11. oświadczenia do zasiłków ZUS (rodzinne, pielęgnacyjne, wychowawcze)
12. dowody i dokumenty księgowe
13. rejestry archiwum (obejmujące: m.in. akta osobowe pracowników, listy płac, kartoteki płacowe pracowników),
14. rejestr związany z Zakładowym Funduszem Świadczeń Socjalnych
15. rejestr wypadków pracowników
b) w stosunku do dzieci, uczniów oraz ich prawnych opiekunów:
1. indywidualne karty dzieci
2. księga ewidencji dzieci i uczniów
3. opinie i orzeczenia
4. dzienniki terapii grupowej i indywidualnej
5. zbiory oświadczeń rodziców lub prawnych opiekunów tych osób
2. Dane osobowe są gromadzone i przetwarzane w systemie rocznym w postaci elektronicznej (przy użyciu sprzętu komputerowego) lub w formie dokumentów biurowych, w zależności od ich rodzaju.
3. Administrator danych jest obowiązany czuwać nad tym, aby dane osobowe były przetwarzane zgodnie z prawem, aby były one zbierane dla oznaczonych, zgodnych z prawem celów, merytorycznie poprawne i adekwatne w stosunku do celów w jakich są przetwarzane.
4. Odpowiedzialność za wykonywanie wynikających z ustawy obowiązków ponoszą reprezentanci.
5. Osobami uprawnionymi do gromadzenia i przetwarzania danych osobowych są:
a) Dyrektor Szkoły Podstawowej w Złotorii
b) nauczyciele w przypadku danych związanych z uczniami, ich rodzicami (prawnymi opiekunami),
c) specjalista do spraw kadrowych,
d) główna księgowa
e) Inne osoby upoważnione pisemnie przez dyrektora.
§ 9
1. Administrator danych prowadzi listę osób zatrudnionych przy gromadzeniu i przetwarzaniu danych osobowych, stanowiącą załącznik nr 1 do niniejszej instrukcji.
2. Osoby te są obowiązane zachować uzyskane informacje w tajemnicy, co potwierdzają własnoręcznym podpisem wraz ze złożeniem stosownego oświadczenia na odpowiednim formularzu, stanowiącym załącznik nr 2 i 3 do niniejszej instrukcji. Oświadczenie to zostaje włączone do akt osobowych pracownika.
3. Ponadto każdy pracownik Szkoły Podstawowej w Złotorii powinien wyrazić zgodę na zbieranie i przetwarzanie danych osobowych swoich i członków rodziny (pozostających we wspólnym gospodarstwie domowym), w zakresie spraw określonych w § 8 niniejszej instrukcji. Zgoda ta winna zostać wyrażona w oświadczeniu zgodnym z wzorem stanowiącym załącznik nr 4 do niniejszej instrukcji i podlega włączeniu do akt osobowych tego pracownika.
§ 10
1. Każdy nauczyciel Szkoły Podstawowej w Złotorii, ma obowiązek zebrać oświadczenia woli od rodziców (prawnych opiekunów) swoich dzieci - uczniów, w których wyrażono zgodę na zbieranie i przetwarzanie danych osobowych zarówno tych dzieci, jak i ich prawnych opiekunów, w zakresie określonym w § 3 pkt. 1b niniejszej instrukcji.
2. Oświadczenie woli, o którym mowa w pkt. 1, winno być składane, przez co najmniej jednego z rodziców lub prawnych opiekunów, na formularzu stanowiącym załącznik nr 5 do niniejszej instrukcji.
Szczególne zasady bezpieczeństwa
§ 11
1. Dane osobowe, są gromadzone i przechowywane w urządzeniach elektronicznych (komputerach, dyskietkach, płytach CD) a przede wszystkim w postaci akt.
2. Obszarem przetwarzania danych osobowych z użyciem sprzętu elektronicznego są w placówce gabinet Dyrektora. Pokój nauczycielski. W ZOSz - gabinet głównej księgowej i pokój specjalisty ds. kadrowych.
3. Administrator jest odpowiedzialny za zabezpieczenie zbiorów danych osobowych poprzez przeciwdziałanie dostępowi do informatycznych baz danych osób nieupoważnionych, a w szczególności za:
a) nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkownika oraz kontroli dostępu do danych osobowych
b) podejmowanie odpowiednich działań w wypadku wykrycia naruszeń systemu.
§ 12
W pomieszczeniach, do których dostęp mają nieuprawnione osoby trzecie, monitory stanowisk dostępu do danych osobowych powinny być ustawione w taki sposób, by uniemożliwić tym osobom wgląd w dane osobowe wyświetlane na ekranach tych urządzeń.
§ 13
Nośniki informacji oraz wydruki z danymi osobowymi, które nie są przeznaczone do udostępnienia przechowuje się w warunkach uniemożliwiających dostęp do nich osobom trzecim.
§ 14
1. Klucze od pomieszczeń, w których wykonywane jest przetwarzanie danych osobowych, znajdują się w dyspozycji osób zatrudnionych przy przetwarzaniu danych i nie są udostępniane osobom postronnym, ani innym pracownikom administratora danych, za wyjątkiem personelu sprzątającego i usuwającego zaistniałe w tych pomieszczeniach awarie.
2. Przebywanie w tych pomieszczeniach osób nieuprawnionych do zapoznania się z danymi osobowymi jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu tych danych.
§ 15
1. Dostęp do zbiorów danych osobowych znajdujących się na dyskach następuje po wprowadzeniu hasła, które znane jest tylko osobie przetwarzającej dane.
2. Każdorazowo po dokonaniu przetworzenia aplikacja powinna być zamknięta.
3. W razie przerwania pracy, przy urządzeniu powinien funkcjonować wygaszacz ekranu komputera.
4. W przypadku podejrzenia, iż wiadomości o sposobie dostępu do elektronicznej bazy danych uzyskała osoba do tego niepowołana, osoba przetwarzająca dane powinna dokonać zmiany hasła, jednocześnie informując o tym niezwłocznie Dyrektora Szkoły Podstawowej w Złotorii.
5. Niezwłoczne powiadomienie Dyrektora placówki, konieczne jest również, w razie stwierdzenia innego naruszenia systemów informatycznych, niż wymienione w pkt. 4.
§ 16
1. Wszystkie komputery biorące udział w przetwarzaniu danych osobowych winny być zabezpieczone przed nagłym zanikiem napięcia oraz niepowołanym dostępem.
2. Wszystkie komputery winny być systematycznie sprawdzane przy użyciu oprogramowania do wykrywania i usuwania wirusów komputerowych.
3. Wszystkie hasła dostępowe do urządzeń powinny podlegać okresowej zmianie, dokonywanej z częstotliwością dostosowaną do rodzaju i znaczenia danych podlegających gromadzeniu i przetwarzaniu. Zmiana ta winna następować nie rzadziej niż 6 razy w roku kalendarzowym.
§ 17
1. Elektroniczne bazy danych osobowych winny być systematycznie archiwizowane.
2. Dane należy okresowo zapisywać i zabezpieczać, w sposób odpowiedni do skutecznego zabezpieczenia przed ich trwałą i nieodwracalną utratą.
3. Kopie danych winny być wykonywane na nośnikach magnetycznych i odpowiednio magazynowane, w sposób zapewniający ich bezpieczeństwo.
Odpowiedzialność za naruszenie instrukcji.
§ 18
Osoba przetwarzająca dane, która stwierdziła niebezpieczeństwo naruszenia przepisów instrukcji i nie poinformowała o tym Dyrektora placówki w przypadku zaistnienia naruszenia postanowień wynikających z niniejszej instrukcji ponosić będzie odpowiedzialność odszkodowawczą wobec pracodawcy, na zasadach określonych w odrębnych przepisach.
Zmiany instrukcji.
§ 19
Wszelkie zmiany w powyższej instrukcji wprowadzane przez administratora danych skuteczne są wobec wszystkich osób, których dotyczą, z chwilą ich doręczenia tym osobom na piśmie.
Moc obowiązująca
§ 20
1. Niniejsza instrukcja zostaje wprowadzona zarządzeniem Dyrektora Szkoły Podstawowej w Złotoriii, i obowiązuje od dnia jej podpisania.
2. Dyrektor placówki zobowiązany jest zapewnić umieszczenie treści niniejszej instrukcji w miejscu i w sposób zapewniający swobodną możliwość zapoznania się z jego treścią, przez pracowników uprawnionych do gromadzenia i przetwarzania danych osobowych.
Złotoria dn. 19 stycznia 2012r.
Dyrektor Szkoły Podstawowej w Złotorii Dorota Stepień
ZAŁĄCZNIK NR 1 DO INSTRUKCJI
w sprawie ochrony danych osobowych obowiązującej w Szkole Podstawowej
w Złotorii
Ustala się następującą listę osób zatrudnionych przez Administratora przy gromadzeniu i przetwarzaniu danych osobowych związanych z działalnością placówki:
A) W zakresie gromadzenia i przetwarzania danych osobowych pracowników, kadry i personelu placówki uprawnionymi są następujące osoby:
1.
2.
3.
B) W zakresie gromadzenia i przetwarzania danych osobowych dzieci - uczniów oraz ich rodziców lub opiekunów prawnych są następujące osoby:
1.
2.
3.
4. Nauczyciele zatrudnieni zgodnie z arkuszem organizacyjnym (pedagodzy, logopedzi).
ZAŁĄCZNIK NR 2 DO INSTRUKCJI
w sprawie ochrony danych osobowych obowiązującej w Szkole Podstawowej w Złotoriii
Imię i nazwisko pracownika:_______________________________________
Stanowisko służbowe: _______________________________________
Oświadczenie pracownika
Jako pracownik upoważniony do gromadzenia i przetwarzania danych osobowych: pracowników, kadry i personelu oraz dzieci - uczniów placówki jak też ich rodziców lub opiekunów prawnych, które to dane są gromadzone w zakresie niezbędnym do prawidłowego funkcjonowania placówki zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) oświadczam, co następuje: Zapoznałam/em się z treścią wyżej wymienionej ustawy oraz z treścią Instrukcji w sprawie ochrony danych osobowych obowiązującej w Szkole Podstawowej w Złotorii, szczególnie w zakresie dotyczącym zasad gromadzenia i przetwarzania danych osobowych. Zobowiązuję się do starannego i rzetelnego wykonywania wszystkich obowiązków wynikających z obowiązujących przepisów prawa i instrukcji wewnętrznych placówki. Zobowiązuję się do zachowania w tajemnicy przed wszystkimi nieupoważnionymi, w świetle obowiązujących przepisów prawa, osobami trzecimi wszystkich danych osobowych, które gromadzę i przetwarzam w związku z wykonywaniem powierzonych mi obowiązków. Zobowiązuję się do nie wykorzystywania, w celach innych niż prawidłowe wykonywanie powierzonych mi obowiązków, jakichkolwiek danych osobowych, które gromadzę i przetwarzam.
Złotoria, dnia ___________________________ ______________________________ (czytelny podpis – imię i nazwisko pracownika)
Potwierdzam, własnoręczność złożonego przez pracownika na niniejszym dokumencie podpisu.
ZAŁĄCZNIK NR 3 DO INSTRUKCJI
w sprawie ochrony danych osobowych obowiązującej w Szkole Podstawowej w Złotorii
Imię i nazwisko nauczyciela : _______________________________________
Stanowisko służbowe: _______________________________________
Oświadczenie nauczyciela
Jako nauczyciel upoważniony do gromadzenia i przetwarzania danych osobowych dzieci – uczniów Szkoły Podstawowej w Złotoriii jak też ich opiekunów prawnych, które to dane są gromadzone w zakresie niezbędnym do prawidłowego funkcjonowania placówki zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) oświadczam, co następuje: Zapoznałam/em* się z treścią wyżej wymienionej ustawy oraz z treścią Instrukcji w sprawie ochrony danych osobowych obowiązującej w Szkole Podstawowej w Złotoriii, szczególnie w zakresie dotyczącym zasad gromadzenia i przetwarzania danych osobowych. Zobowiązuję się do starannego i rzetelnego wykonywania wszystkich obowiązków wynikających z obowiązujących przepisów prawa i instrukcji wewnętrznych placówki. Zobowiązuję się do zachowania w tajemnicy przed wszystkimi nieupoważnionymi, w świetle obowiązujących przepisów prawa, osobami trzecimi wszystkich danych osobowych, które gromadzę i przetwarzam oraz do których mam wgląd w związku z wykonywaniem powierzonych mi obowiązków. Zobowiązuję się do nie wykorzystywania, w celach innych niż prawidłowe wykonywanie powierzonych mi obowiązków, jakichkolwiek danych osobowych, które gromadzę i przetwarzam. Jednocześnie zobowiązuję się do rzetelnego bieżącego uzupełniania i aktualizowania danych dotyczących uczniów placówki.
Złotoria, dnia ___________________________ ______________________________
(czytelny podpis – imię i nazwisko nauczyciela)
Potwierdzam, własnoręczność złożonego przez pracownika na niniejszym dokumencie podpisu.
ZAŁĄCZNIK NR 4 DO INSTRUKCJI
w sprawie ochrony danych osobowych obowiązującej w Szkole Podstawowej w Złotorii
Imię i nazwisko pracownika: _______________________________________
Stanowisko służbowe: _______________________________________
Oświadczenie informacyjne dla pracowników Szkoły Podstawowej w Złotorii
Zgodnie z wymogami ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) informuję Pana/Panią, że Administrator danych osobowych tj. Szkoła Podstawowa w Złotorii zbiera i przetwarza dane osobowe Pana/Pani oraz dane osobowe pozostałych członków Pana/Pani rodziny i osób pozostających we wspólnym gospodarstwie domowym, w zakresie niezbędnym do prawidłowego wykonywania obowiązków tej placówki jako zakładu pracy i innych wynikających z przepisów prawa obowiązków, a w szczególności w zakresie kadrowo-płacowym, statystyczno-sprawozdawczym i dotyczącym ubezpieczeń społecznych i zdrowotnych. Informuję, jednocześnie, że przysługuje Panu/Pani prawo do wglądu danych oraz uzupełnienia, uaktualnienia oraz żądania prostowania zgromadzonych danych w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe. Jednocześnie informuję, że Administrator danych osobowych tj.Szkoła Podstawowa w Złotorii dołoży wszelkich starań, aby dane były zbierane, przetwarzane i chronione zgodnie z prawem.
Złotoria, dnia .............................................. ............................................................
(podpis i pieczęć reprezentanta Administratora)
Oświadczenie pracownika
Oświadczam, że w dniu dzisiejszym zapoznałem/-am się z przekazaną mi informacją dotyczącą zasad i potrzeb gromadzenia moich i członków mojej rodziny oraz pozostających ze mną we wspólnym gospodarstwie domowym. Oświadczam także, że wyrażam zgodę na gromadzenie i przetwarzanie przez Administratora danych osobowych tj. Szkołę Podstawową w Złotorii danych osobowych moich, członków mojej rodziny oraz osób pozostających ze mną we wspólnym gospodarstwie domowym, w zakresie niezbędnym do prawidłowego wykonywania obowiązków tej placówki jako zakładu pracy i innych wynikających z przepisów prawa obowiązków, a w szczególności w zakresie kadrowo-płacowym, statystyczno-sprawozdawczym i dotyczącym ubezpieczeń społecznych i zdrowotnych. Oświadczam także, iż zostałem/-am pouczony należycie o przysługujących mi uprawnieniach w zakresie możliwości wglądu do gromadzonych danych oraz o możliwości ich uzupełniania oraz żądania sprostowania w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe.
Złotoria, dnia ......................................... r. ..............................................................
(czytelny podpis - imię i nazwisko pracownika)
ZAŁĄCZNIK NR 5 DO INSTRUKCJI
w sprawie ochrony danych osobowych obowiązującej w Szkole Podstawowej w Złotorii
Imię i nazwisko: _______________________________________
Status wobec Administratora: _______________________________________
Oświadczenie informacyjne dla ustawowych przedstawicieli dzieci – uczniów korzystających z usług Szkoły Podstawowej w Złotorii.
Zgodnie z wymogami ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z póź. zmianami) informuję Pana/Panią, że Administrator danych osobowych tj. Szkoła Podstawowa w Złotorii zbiera i przetwarza dane osobowe Pana/Pani oraz dane osobowe pozostałych członków Pana/Pani rodziny i osób pozostających we wspólnym gospodarstwie domowym, w zakresie niezbędnym do prawidłowego wykonywania obowiązków tej placówki w związku z realizowaniem przez nią celów statutowych w przedmiocie działalności na rzecz dzieci. Informuję, jednocześnie, że przysługuje Panu/Pani prawo do wglądu danych oraz uzupełnienia, uaktualnienia oraz żądania prostowania zgromadzonych danych w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe. Ponadto informuję, że Administrator danych osobowych tj. Szkoła Podstawowa w Złotorii dołoży wszelkich starań, aby dane były zbierane, przetwarzane i chronione zgodnie z prawem.
Złotoria, dnia ..................................... ........................................................
(podpis i pieczęd reprezentanta Administratora)
Oświadczenie osoby trzeciej
Oświadczam, że w dniu dzisiejszym zapoznałem/am się z przekazaną mi informacją dotyczącą zasad i potrzeb gromadzenia i przetwarzania danych osobowych moich i członków mojej rodziny oraz pozostających ze mną we wspólnym gospodarstwie domowym. Oświadczam także, że wyrażam zgodę na gromadzenie i przetwarzanie przez Administratora danych osobowych tj. Szkołę Podstawową w Złotorii danych osobowych moich, członków mojej rodziny oraz osób pozostających ze mną we wspólnym gospodarstwie domowym, w zakresie niezbędnym do prawidłowego wykonywania obowiązków tej placówki w związku z realizowaniem przez nią celów statutowych w zakresie działalności na rzecz dzieci, a w szczególności w zakresie tej formy jej działalności, z której korzystam ja lub moje dziecko/ dziecko którego jestem reprezentantem ustawowym. Oświadczam także, że zostałam/łem pouczony należycie o przysługujących mi uprawnieniach w zakresie możliwości wglądu do gromadzonych danych oraz o możliwości ich uzupełniania, uaktualniania oraz żądania sprostowania w razie stwierdzenia, że dane te są niekompletne, nieaktualne lub nieprawdziwe.
Złotoria, dnia ................................... r. .............................................................
(czytelny podpis reprezentanta ustawowego dziecka)
Załącznik Nr 2 do Zarządzenia Nr 2/2012
INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA DANYCH OSOBOWYCH
ROZDZIAŁ I
Informacje ogólne
§1
Celem instrukcji jest określenie sposobu działania w przypadku, gdy:
- stwierdzono naruszenie zabezpieczenia systemu informatycznego w obszarze danych osobowych.
- stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci komputerowej mogą wskazywać na naruszenie bezpieczeństwa danych osobowych.
§2
Instrukcja określa zasady postępowania wszystkich osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych / nieinformatycznych, zgodnie z tabelą naruszeń.
§3
Naruszeniem zabezpieczenia systemu informatycznego, przetwarzającego dane osobowe jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych osobowych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego, a w szczególności:
- nieautoryzowany dostęp do danych,
- nieautoryzowane modyfikacje lub zniszczenie danych,
- udostępnienie danych nieautoryzowanym podmiotom,
- nielegalne ujawnienie danych,
- pozyskiwanie danych z nielegalnych źródeł.
ROZDZIAŁ II
Postępowanie w przypadku naruszenia zabezpieczenia systemu informatycznego
§4
W przypadku stwierdzenia naruszenia zabezpieczenia systemu informatycznego lub zaistnienia sytuacji, które mogą wskazywać na naruszenie zabezpieczenia danych osobowych, każdy pracownik zatrudniony przy przetwarzaniu danych osobowych w Szkole Podstawowej w Złotorii, jest zobowiązany przerwać przetwarzanie danych osobowych i niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego oraz Administratora Bezpieczeństwa Informacji ( lub osobę przez niego upoważnioną ), a następnie postępować stosownie do podjętej przez niego decyzji.
Zgłoszenie naruszenia ochrony danych osobowych powinno zawierać:
- opisanie symptomów naruszenia ochrony danych osobowych,
- określenie sytuacji i czasu w jakim stwierdzono naruszenie ochrony danych osobowych,
- określenie wszelkich istotnych informacji mogących wskazywać na przyczynę naruszenia,
- określenie znanych danej osobie sposobów zabezpieczenia systemu oraz wszelkich kroków podjętych po ujawnieniu zdarzenia.
§5
Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba podejmuje wszelkie działania mające na celu:
- minimalizację negatywnych skutków zdarzenia,
- wyjaśnienie okoliczności zdarzenia,
- zabezpieczenia dowodów zdarzenia,
- umożliwienie dalszego bezpiecznego przetwarzania danych .
§6
W celu realizacji zadań niniejszej instrukcji Administrator Bezpieczeństwa Informacji lub inna upoważniona przez niego osoba, ma prawo do podejmowania wszelkich działań dopuszczonych przez prawo, a szczególności:
a. żądania wyjaśnień od pracowników,
b. korzystania z pomocy konsultantów,
c. nakazanie przerwania pracy, zwłaszcza w zakresie przetwarzanie danych
osobowych.
§7
Polecenia Administratora Bezpieczeństwa Informacji wydawane w czasie realizacji wynikających z niniejszej instrukcji są priorytetowe i powinny być wykonywane w pierwszej kolejności, zapewniając ochronę danych osobowych.
§8
Odmowa udzielenia wyjaśnień lub współpracy z Administratorem Bezpieczeństwa Informacji traktowana będzie jako naruszenie obowiązków pracowniczych.
§9
Administrator Bezpieczeństwa Informacji po zażegnaniu sytuacji nadzwyczajnej opracowuje raport końcowy (wzór w załączniku), w którym przedstawia przyczyny i skutki zdarzenia oraz wnioski, w tym kadrowe, ograniczające możliwość wystąpienia zdarzenia w przyszłości.
ROZDZIAŁ III
Sankcje
§10
Nieprzestrzeganie zasad określonych w niniejszej instrukcji stanowi naruszenie obowiązków pracowniczych i może być przyczyną odpowiedzialności dyscyplinarnej określonej w Kodeksie Pracy
§11
Jeżeli skutkiem działania określonego w §10 jest ujawnienie informacji osobie nieupoważnionej, sprawca może zostać pociągnięty do odpowiedzialności karnej wynikającej z przepisów Kodeksu Karnego.
§12
Jeżeli skutkiem działania określonego w §10 jest szkoda, sprawca ponosi odpowiedzialność materialną na warunkach określonych w Kodeksie Pracy oraz Prawa Cywilnego.
Załącznik
Raport o naruszeniu danych osobowych
Sporządzający raport
Imię i nazwisko ..................................................................
Stanowisko (funkcja)........................................................
Kod formy naruszenia danych (wg tabeli)
1. Miejsce, dokładny czas i data naruszenia ochrony danych osobowych (piętro godzina, nr pokoju, itp.)
.............................................................................................
.............................................................................................
2. Osoba powodująca naruszenie, (która swoim działaniem lub zaniechaniem przyczyniła się do naruszenia ochrony danych osobowych)
..............................................................................................
..............................................................................................
3. Osoby, które uczestniczyły w zdarzeniu związanym z naruszeniem ochrony danych osobowych ................................................................
................................................................................................
4. Informacja o danych, które zostały lub mogły zostać ujawnione
...............................................................................................
...............................................................................................
5. Zabezpieczone materiały lub inne dowody związane z wydarzeniem
................................................................................................
................................................................................................
6. Krótki opis wydarzenia związanego z naruszeniem ochrony danych osobowych (przebieg zdarzenia, opis zachowania uczestników, podjęte działania).................................................................................................
.................................................................................................
.................................................................................................
Metryka strony
