Proszę o wzór regulaminu - procedury ochrony danych odobowych w szkole ponadgimnazjalnej
INTERPRETACJA PRAWNA
Zgodnie z postanowieniami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 z późn. zm.; dalej: Ustawa) Administrator Danych (którym jest m.in. szkoła ponadgimnazjalna) jest zobowiązany do prowadzenia dokumentacji ochrony danych osobowych. Na tę dokumentację składają się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Są to dokumenty obligatoryjne, które powinny zostać przez Administratora Danych opracowane i wdrożone zgodnie z wytycznymi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U,. z 2004 r., Nr 100, poz. 1024 z późn. zm.; dalej: Rozporządzenie). Warto zaznaczyć, iż dokumentacja ta powinna być prowadzona w formie pisemnej.
Powyższe oznacza, że nie ma potrzeby tworzenia dodatkowych dokumentów odnoszących się do ochrony danych osobowych (regulaminów, procedur, wytycznych), jeżeli przewidziana w Ustawie dokumentacja ochrony danych osobowych zostanie opracowana i wdrożona w placówce zgodnie z wytycznymi obowiązujących w tym zakresie przepisów. Wielość aktów wewnętrznych obowiązujących w szkole, odnoszących się do zagadnień danych osobowych, może prowadzić do tego, że pracownicy zwyczajnie pogubią się w obowiązujących procedurach.
Polityka bezpieczeństwa to nic innego jak dokument zawierający zestaw praw, reguł i praktycznych rozwiązań regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz szkoły. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych tj. powinna uwzględniać zarówno zabezpieczenia danych przetwarzanych w systemach informatycznych, jak i tych przetwarzanych w formie tradycyjnej (papierowej, m.in. dzienników lekcyjnych). Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie realizować obowiązki Administratora Danych w zakresie zabezpieczenia danych osobowych.
Zgodnie z §4 Rozporządzenia, polityka bezpieczeństwa zawiera w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Oprócz powyższego, polityka jest dokumentem, w którym warto opisać m.in.: kto pełni w szkole funkcję Administratora Bezpieczeństwa Informacji (jeżeli został powołany), kto odpowiada za zmianę haseł w systemach informatycznych, kto nadaje upoważnienia dla pracowników przetwarzających dane osobowe. Innymi słowy, dokument powinien opisywać wewnętrzną strukturę odpowiedzialności za przetwarzane przez szkołę dane osobowe.
Generalny Inspektor Ochrony Danych Osobowych (GIODO) wydał dokument, który ma stanowić pomoc dla Administratorów Danych przy opracowywaniu polityki bezpieczeństwa, a mianowicie Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa (http://www.giodo.gov.pl/163/id_art/1063/j/pl/ *), w którym to dokumencie wyjaśnione zostało pojęcie polityki bezpieczeństwa, wskazany został cel jej opracowania i wdrożenia oraz opisane zostały poszczególne elementy składowe tego dokumentu.
Odpowiednio przygotowana polityka bezpieczeństwa powinna oddawać w pełni specyfikę działalności szkoły. W niewielkiej placówce wystarczy prosta dokumentacja, podporządkowująca wszystkie najważniejsze zadania związane z ochroną danych osobowych Administratorowi Bezpieczeństwa Informacji (jeżeli został powołany). W większej placówce warto zadbać o to, aby przy niektórych czynnościach ABI miał wsparcie w postaci innych pracowników.
Instrukcja zarządzania systemem informatycznym to z kolei zbiór reguł i zasad odnoszący się tylko i wyłącznie do danych osobowych przetwarzanych za pomocą systemów informatycznych w szkole.
Zgodnie z wytycznymi §5 Rozporządzenia, instrukcja jest dokumentem, który zawiera w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe,
- kopii zapasowych, o których mowa w pkt 4,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
- sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia;
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Powyższe oznacza, że instrukcja zarządzania systemem informatycznym to odpowiednie miejsce m.in. na opisanie polityki zabezpieczania haseł dostępu do systemów informatycznych oraz wskazanie osoby bądź osób odpowiedzialnych za ich systematyczną zmianę.
Szczegółowe wyjaśnienia i opisy dotyczące instrukcji można znaleźć w opracowanym przez GIODO dokumencie: Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji (www.giodo.gov.pl/plik/id_p/550/j/pl *).
Dodatkowo, w załączeniu odpowiedzi przedstawiam wzory polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym ze szczegółowym opisem odnoszącym się do sposobu ich uzupełnienia oraz konkretnymi wskazówkami dotyczącymi ich wdrożenia w szkole.
*dostęp 30.11.2015 r.
z poważaniem
Przemysław Zegarek
Przemysław Zegarek
NIE ZNALAZŁEŚ ODPOWIEDZI NA SWOJE PYTANIE?
Zadaj pytanie
Zapytaj eksperta. Uzyskaj opinię
prawną lub dokumentację. Bezpłatnie.
prawną lub dokumentację. Bezpłatnie.
MATERIAŁY DO POBRANIA I PODSTAWA PRAWNA
