Proszę o wzór regulaminu - procedury ochrony danych odobowych w szkole ponadgimnazjalnej
Proszę o wzór regulaminu - procedury ochrony danych odobowych w szkole ponadgimnazjalnej
Zgodnie z postanowieniami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 z późn. zm.; dalej: Ustawa) Administrator Danych (którym jest m.in. szkoła ponadgimnazjalna) jest zobowiązany do prowadzenia dokumentacji ochrony danych osobowych. Na tę dokumentację składają się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Są to dokumenty obligatoryjne, które powinny zostać przez Administratora Danych opracowane i wdrożone zgodnie z wytycznymi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U,. z 2004 r., Nr 100, poz. 1024 z późn. zm.; dalej: Rozporządzenie). Warto zaznaczyć, iż dokumentacja ta powinna być prowadzona w formie pisemnej.
Powyższe oznacza, że nie ma potrzeby tworzenia dodatkowych dokumentów odnoszących się do ochrony danych osobowych (regulaminów, procedur, wytycznych), jeżeli przewidziana w Ustawie dokumentacja ochrony danych osobowych zostanie opracowana i wdrożona w placówce zgodnie z wytycznymi obowiązujących w tym zakresie przepisów. Wielość aktów wewnętrznych obowiązujących w szkole, odnoszących się do zagadnień danych osobowych, może prowadzić do tego, że pracownicy zwyczajnie pogubią się w obowiązujących procedurach.
Polityka bezpieczeństwa to nic innego jak dokument zawierający zestaw praw, reguł i praktycznych rozwiązań regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz szkoły. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych tj. powinna uwzględniać zarówno zabezpieczenia danych przetwarzanych w systemach informatycznych, jak i tych przetwarzanych w formie tradycyjnej (papierowej, m.in. dzienników lekcyjnych). Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie realizować obowiązki Administratora Danych w zakresie zabezpieczenia danych osobowych.
Zgodnie z §4 Rozporządzenia, polityka bezpieczeństwa zawiera w szczególności:
Oprócz powyższego, polityka jest dokumentem, w którym warto opisać m.in.: kto pełni w szkole funkcję Administratora Bezpieczeństwa Informacji (jeżeli został powołany), kto odpowiada za zmianę haseł w systemach informatycznych, kto nadaje upoważnienia dla pracowników przetwarzających dane osobowe. Innymi słowy, dokument powinien opisywać wewnętrzną strukturę odpowiedzialności za przetwarzane przez szkołę dane osobowe.
Generalny Inspektor Ochrony Danych Osobowych (GIODO) wydał dokument, który ma stanowić pomoc dla Administratorów Danych przy opracowywaniu polityki bezpieczeństwa, a mianowicie Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa (http://www.giodo.gov.pl/163/id_art/1063/j/pl/ *), w którym to dokumencie wyjaśnione zostało pojęcie polityki bezpieczeństwa, wskazany został cel jej opracowania i wdrożenia oraz opisane zostały poszczególne elementy składowe tego dokumentu.
Odpowiednio przygotowana polityka bezpieczeństwa powinna oddawać w pełni specyfikę działalności szkoły. W niewielkiej placówce wystarczy prosta dokumentacja, podporządkowująca wszystkie najważniejsze zadania związane z ochroną danych osobowych Administratorowi Bezpieczeństwa Informacji (jeżeli został powołany). W większej placówce warto zadbać o to, aby przy niektórych czynnościach ABI miał wsparcie w postaci innych pracowników.
Instrukcja zarządzania systemem informatycznym to z kolei zbiór reguł i zasad odnoszący się tylko i wyłącznie do danych osobowych przetwarzanych za pomocą systemów informatycznych w szkole.
Zgodnie z wytycznymi §5 Rozporządzenia, instrukcja jest dokumentem, który zawiera w szczególności:
Powyższe oznacza, że instrukcja zarządzania systemem informatycznym to odpowiednie miejsce m.in. na opisanie polityki zabezpieczania haseł dostępu do systemów informatycznych oraz wskazanie osoby bądź osób odpowiedzialnych za ich systematyczną zmianę.
Szczegółowe wyjaśnienia i opisy dotyczące instrukcji można znaleźć w opracowanym przez GIODO dokumencie: Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji (www.giodo.gov.pl/plik/id_p/550/j/pl *).
Dodatkowo, w załączeniu odpowiedzi przedstawiam wzory polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym ze szczegółowym opisem odnoszącym się do sposobu ich uzupełnienia oraz konkretnymi wskazówkami dotyczącymi ich wdrożenia w szkole.
*dostęp 30.11.2015 r.