POLITYKA BEZPIECZEŃSTWA

  • Drukuj
Szczegóły
Odsłony: 37

autor informacji: Skwarski Mariusz, data wytworzenia: 2026-04-20 15:02:33

opublikował: Skwarski Mariusz, ZS Nr 1 w Mławie, tel. 23 654 32 07, data publikacji: 2026-04-20 15:02:33

zmodyfikował: Skwarski Mariusz, ZS Nr 1 w Mławie, tel. 23 654 32 07, ostatnia modyfikacja: 2026-04-20 15:02:33

 

Załącznik nr 2

do Zarządzenia Nr 3/2018

Dyrektora ZS Nr 1 w Mławie

z dnia 20.11.2018r.

 

 

POLITYKA BEZPIECZEŃSTWA

 

 

            Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół nr 1              w Mławie.

 

Podstawa prawna:

1. Rozporządzenie w sprawie odesłania do przepisów Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 2016, Nr 119, s 1; dalej RODO).

2. Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z 2018 Poz. 1000 z późn.zm.).

 

Rozdział I      Postanowienia ogólne.

Rozdział II    Cele i zakres polityki bezpieczeństwa.

Rozdział III   Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.

Rozdział IV   Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.

Rozdział V     Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania  danych osobowych.

Rozdział VI   Struktury zbiorów danych oraz przepływ danych pomiędzy systemami.

Rozdział VII  Środki ochrony.

Rozdział VIII Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych.

 

Rozdział I

 

Postanowienia ogólne

 

§ 1

 

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespół Szkół Nr 1 w Mławie została opracowana zgodnie z wymogami Stanowi ona zestaw praw i reguł regulujących sposób zarządzania ochrony i dystrybucji danych osobowych   w Zespół Szkół Nr 1 w Mławie.

§ 2

 

Określenia i skróty użyte w Polityce oznaczają:

  1. Rozporządzenie RODORozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r
  2. Administrator Danych Osobowych – Dyrektor Szkoły, zwany dalej ADO.
  3. Inspektor Ochrony Danych, zwany dalej IOD – pracownikodpowiedzialny za monitorowanie przestrzegania rozporządzenia RODO w Zespole Szkół Nr 1 w Mławie
  1. Osoba upoważniona lub użytkownik systemu, zwany dalej użytkownikiem – osoba posiadająca upoważnienie przez ADO i uprawniona do przetwarzania danych osobowych w zakresie wskazanym w upoważnieniu.
  2. Zespół Szkół nr 1 w Mławie, zwany dalej Szkołą.

 

 

Rozdział II

 

Cele i zakres polityki bezpieczeństwa

 

§ 1

 

Polityka zakłada pełne zaangażowanie Dyrekcji oraz pracowników Szkoły dla zapewnienia bezpieczeństwa danych osobowych przetwarzanych zarówno w sposób tradycyjny, jak                  i w systemie informatycznym.

 

§ 2

 

  1. Polityka określa podstawowe zasady bezpieczeństwa przetwarzanych w Szkole danych osobowych.
  2. Polityka dotyczy wszystkich danych osobowych, przetwarzanych w Szkole, niezależnie od formy ich przetwarzania.

 

§ 3

 

Celem Polityki jest ochrona danych osobowych, przetwarzanych w Szkole, przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem.

 

§ 4

 

  1. Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech:
    1. poufności; właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom;
    2. integralności; właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
    3. rozliczalności; właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
    4. zgodności z prawem; właściwości zapewniającej, że gromadzone są wyłącznie dane niezbędne do właściwego funkcjonowania szkoły                            i realizowania przez nią zadań określonych w odrębnych przepisach. W związku z tym Szkoła może przetwarzać informacje o pracownikach, które mają bezpośredni i jednoznaczny związek ze stosunkiem pracy oraz tylko takie informacje o uczniach, które związane są z procesem dydaktycznym i ochroną zdrowia podczas nauki w Szkole. Szczegółowy zakres danych osobowych uczniów podaje rozporządzenie Ministra Edukacji Narodowej z dnia 19 kwietnia 1999 w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. nr 41 poz. 414). Zakres danych dotyczących pracowników określa rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. 1996, nr 62, poz. 286, z późn. zm.).

 

  1. Za pomiot nieupoważniony uważa się podmiot, który nie otrzymał zgody ADO na udostępnienie mu danych osobowych oraz osobę nieposiadającą upoważnienia do przetwarzania danych osobowych, nadanego przez ADO.

 

§ 5

 

Dla skutecznej realizacji Polityki ADO zapewnia:

a.      odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne;

b.      szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony;

c.      monitorowanie zastosowanych środków ochrony.

 

   § 6

 

ADO zapewnia zgodność niniejszej Polityki z przepisami określającymi zasady przetwarzania danych osobowych oraz z polskimi normami ustanawiającymi wytyczne w dziedzinie zarządzania bezpieczeństwem systemów teleinformatycznych, tj.:

1.      Ustawą z dnia Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z 2018 Poz. 1000 z późn.zm.).

 

2.     Rozporządzenie w sprawie odesłania do przepisów Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 2016, Nr 119, s 1; dalej RODO).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Rozdział III

 

Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem.

 

§ 1

 

1.      Zarządzanie bezpieczeństwem systemów jest procesem ciągłym, realizowanym przy współdziałaniu osób upoważnionych do przetwarzania danych z ADO i IOD.

2.      Wszystkie osoby upoważnione do przetwarzania danych zobowiązane są do:

a.     przetwarzania danych osobowych zgodnie z obowiązującymi przepisami;

b.      postępowania zgodnie z ustaloną przez ADO Polityką oraz z:

-     „Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w ZS nr 1 w Mławie”;

3.      W przypadku naruszenia przepisów lub zasad postępowania, osoba upoważniona do przetwarzania danych osobowych podlega odpowiedzialności służbowej i karnej.

 

§ 2

 

Osoby upoważnione przez ADO do przetwarzania danych osobowych zobowiązane są do:

a)    ścisłego przestrzegania zakresu udzielonego upoważnienia;

b)    zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

c)    zgłaszania ADO incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwego funkcjonowania systemu, a także informowania o przypadkach naruszenia bezpieczeństwa danych.

 

 

Rozdział IV

 

Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.

 

§ 1

 

  1. Lokalizacja:

Zespół Szkół Nr 1

06-500 Mława, ul. Z. Morawskiej 29

  1. Obszarami do przetwarzania danych osobowych z użyciem sprzętu komputerowego oraz sposobem ręcznym są:
    1. gabinet dyrektora;
    2. pokój kierownika gospodarczego;
    3. gabinet pedagoga szkolnego;
    4. sekretariat  - obszar za biurkiem ze wszystkimi urządzeniami;
    5. pokój nauczycielski;
    6. pracownia informatyczna - obszar za biurkiem nauczyciela ze wszystkimi urządzeniami;
    7. składnica – archiwum szkolne.

 

Rozdział V

Struktury zbiorów danych oraz przepływ danych pomiędzy systemami.

§ 1

W Szkole dane osobowe mogą być przetwarzane w zbiorach danych, przy zastosowaniu systemów oraz zbiorów ewidencyjnych w postaci kartotek, skorowidzów, ksiąg i wykazów.

§ 2

Zawartość pól informacyjnych, występujących w systemach zastosowanych w celu przetwarzania danych osobowych, musi być zgodna z przepisami prawa, które uprawniają lub zobowiązują ADO do przetwarzania danych osobowych.

 § 3

1.      Przepływ danych pomiędzy systemami zastosowanymi w celu przetwarzania danych osobowych może odbywać się w postaci przepływu jednokierunkowego lub przepływu dwukierunkowego.

2.      Przepływ jednokierunkowy oznacza, że system informatyczny udostępnia dane ze zbioru (bazy) danych tylko w trybie „do odczytu”.

3.      Przepływ dwukierunkowy umożliwia upoważnionemu użytkownikowi korzystanie z danych w trybach „do odczytu” i „do zapisu”, tj. umożliwia wprowadzanie nowych danych i modyfikację istniejących.

 

§ 4

Przesyłanie danych pomiędzy systemami może odbywać się w sposób manualny, przy wykorzystaniu nośników zewnętrznych (np. dyskietka, CD, DVD, taśma streamera, dysk wymienny, PenDrive itp.) lub w sposób półautomatyczny, przy wykorzystaniu funkcji eksportu/ importu danych za pomocą teletransmisji (np. poprzez wewnętrzną sieć teleinformatyczną).

 § 6

Przesyłanie danych może odbywać się zarówno w obrębie szkoły, jak i na zewnątrz (do organu prowadzącego szkołę lub podmiotów współpracujących ze szkołą w organizowaniu zadań związanych z procesem edukacyjnym, w szczególności organizujących egzamin maturalny i proces rekrutacyjny).

Rozdział VI

Środki ochrony.

§ 1

ADO zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

 § 2

1.      Środki ochrony, zastosowane przez ADO dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, obejmują:

a.      środki fizyczne;

b.      środki osobowe;

c.      środki techniczne.

2.      Środki ochrony fizycznej obejmują:

a.      lokalizację miejsc przetwarzania danych osobowych w pomieszczeniach o ograniczonym i kontrolowanym dostępie;

b.     ustalenie zasad pobierania kluczy do pomieszczeń i szaf;

c.      składowanie zbiorów danych osobowych (w tym nośników wymiennych i nośników kopii zapasowych) w odpowiednio zabezpieczonych pomieszczeniach i szafach.

3.      Środki ochrony osobowej obejmują:

a.      dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie wydane przez ADO;

b.      zapoznanie tych osób z zasadami przetwarzania danych osobowych oraz obsługą systemu służącego do przetwarzania danych;

c.      odebranie stosownych zobowiązań i oświadczeń; tj.: zobowiązania do zachowania w tajemnicy danych i sposobów ich zabezpieczenia oraz oświadczenia o zapoznaniu z treścią przepisów określających zasady postępowania przy przetwarzaniu danych osobowych, a także z dokumentacją opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę.

4.      Środki ochrony technicznej obejmują:

a.      mechanizmy kontroli dostępu do systemów i zasobów;

b.     zastosowanie odpowiednich i regularnie aktualizowanych informatycznych narzędzi ochronnych;

c.     regularne tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych;

 

Rozdział VII

Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych.

  1. Procedura postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych.
  2. IOD lub osoba która otrzymała informację o stwierdzeniu naruszenia powiadamia ADO.
  3. Administrator danych powołuje zespół osób zajmujących się naruszeniem, w którego skład wchodzą m.in. IOD oraz ASI, zwany dalej zespołem osób.
  4. Administrator danych w porozumieniu z zespołem osób ustala czy naruszenie skutkowało mało prawdopodobnym ryzykiem naruszenia praw lub wolności osób fizycznych.
  5. Jeżeli jest więcej niż mało prawdopodobne by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych Administrator Danych zgłasza naruszenie organowi nadzorczemu właściwemu zgodnie z art. 33 RODO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
  6. Zespół osób ustala okoliczności naruszenia ochrony danych osobowych, jego skutki oraz działania zaradcze.
  7. Zespół osób ustala charakter naruszenia ochrony danych osobowych w tym w miarę możliwości wskazuje kategorie i przybliżoną liczbę osób, których dane dotyczą, kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie oraz możliwe konsekwencje naruszenia danych osobowych.
  8. Zespół osób proponuje zastosowanie środków zaradzających naruszeniu ochrony danych osobowych, w tym stosowanych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  9. Administrator lub osoba przez niego upoważniona dokumentuje naruszenie w rejestrze naruszeń.
  10. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu, o ile nie występuje żadna z przesłanek opisanych w art. 34 ust. 3 RODO.