REGULAMIN POSTĘPOWANIA PRZY PRZETWARZANIU DANYCH OSOBOWYCH

 

Przedszkole Miejskie nr 2 im. Wandy Chotomskiej

ul. Borzymowskiego 8

78-100 Kołobrzeg

 

 

 

 

 

 

 

1        Wstęp

 

Niniejszy Regulamin postępowania przy przetwarzaniu danych osobowych określa zasady przetwarzania danych osobowych w systemach informatycznych, utrwalonych na nośnikach elektronicznych lub  nieelektronicznych.

Przedszkole jest Administratorem danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U. UE L.2016.119.1 z dnia 4 maja 2016 r.

Regulamin postępowania przy przetwarzaniu danych osobowych został opracowany w oparciu o art.5, 24 i 32 rozporządzenia o ochronie danych. Regulamin jest częścią  udokumentowanych polityk ochrony danych, o których mowa w art.24 ust.2 rozporządzenia o ochronie danych.

Celem Regulaminu jest wykazanie wdrożenia przez Administratora danych osobowych odpowiednich środków technicznych i organizacyjnych tak, aby przetwarzanie danych osobowych odbywało się zgodnie z rozporządzeniem o ochronie danych, z uwzględnieniem wyników szacowania ryzyka oraz tzw. dobrych praktyk dotyczących bezpieczeństwa informacji i ochrony prywatności opisanych w normach międzynarodowych.

W Regulaminie mają zastosowanie definicje zawarte w rozporządzeniu o ochronie danych.

Regulamin postępowania przy przetwarzaniu danych osobowych przeznaczony jest dla pracowników Przedszkola, którzy przetwarzają dane osobowe utrwalone na nośnikach lub za pomocą systemów informatycznych. Pracownicy podpisują oświadczenie o zapoznaniu się z Regulaminem według wzoru zamieszczonego w załączniku do niniejszego dokumentu. Pod pojęciem pracownika należy rozumieć również wolontariuszy, praktykantów, stażystów oraz osoby świadczące usługi na podstawie umowy cywilnoprawnej, z wyłączeniem tych osób i podmiotów, którym powierzono przetwarzanie danych osobowych w trybie art.28 rozporządzenia o ochronie danych lub które posiadają dostęp do danych osobowych wyłącznie do wglądu w siedzibie Przedszkola i pod nadzorem uprawnionego pracownika Przedszkola.

2        Procedura postępowania z nośnikami, na których utrwalone zostały dane osobowe

 

 

1.        Zgodnie z definicją z rozporządzenia o ochronie danych, przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

2.        Pracownicy Przedszkola zobowiązani są przechowywać nośniki elektroniczne i nieelektroniczne (na przykład papier), na których utrwalone zostały dane osobowe, w sposób uniemożliwiający dostęp do nich osób nieuprawnionych, jak również w sposób zabezpieczający je przed nieuprawnionym ujawnieniem, zniszczeniem utratą lub uszkodzeniem.

3.        Pracownicy Przedszkola zobowiązani są do przestrzegania zasady, aby w pomieszczeniach Przedszkola, w których przetwarzane są dane osobowe, nie przebywały bez nadzoru osoby nieuprawnione.

4.        Po zakończeniu pracy lub podczas nieobecności w pomieszczeniu osób upoważnionych do przetwarzania danych osobowych, okna i drzwi do pomieszczeń muszą być zamykane, przy czym drzwi do pomieszczeń zamykane na klucz.

5.        Pracownicy Przedszkola zobowiązani są do niezwłocznego zabierania oryginałów i kopii dokumentów zawierających dane osobowe po ich  skopiowaniu, zeskanowaniu lub wydrukowaniu.

6.        Przewidziane do zniszczenia dokumenty w postaci papierowej, niszczone są w niszczarkach, w sposób uniemożliwiający odczytanie danych osobowych. Czynności te wykonywane są przez pracowników Przedszkola. Nośniki elektroniczne i dane na nich utrwalone niszczone są przez Administratora systemu informatycznego .

7.        Utrwalone na nośnikach dane osobowe, których Administratorem jest Przedszkole, nie mogą być przetwarzane poza siedzibą Przedszkola, chyba że:

a)       nośniki są transportowane pomiędzy Przedszkolem a organem prowadzącym, Centrum Usług Wspólnych lub innymi Przedszkolami, przy dołożeniu szczególnej staranności w celu ich ochrony przed kradzieżą, zgubieniem, uszkodzeniem, zniszczeniem lub ujawnieniem danych osobowych osobom nieuprawnionym,

b)        wizerunek i głos są utrwalone na kartach pamięci podczas wykonywania zdjęć lub materiałów filmowych na zajęciach wychowania przedszkolnego prowadzonych poza siedzibą Przedszkola,

c)        przechowywane są w postaci zaszyfrowanej na nośnikach elektronicznych będących własnością Przedszkola,

d)        poddane zostały pseudonimizacji w rozumieniu art.4 pkt 5 rozporządzenia o ochronie danych,

e)        przetwarzanie związane jest z korzystaniem z usług pocztowych i kurierskich,

f)         w trybie określonym w art.28 rozporządzenia o ochronie danych, Przedszkole zawarło z osobą lub podmiotem umowę powierzenia przetwarzania danych osobowych.

8.        Podczas transportu do/z Przedszkola, nośniki, na których utrwalone zostały dane osobowe, nie mogą być pozostawiane bez nadzoru (np. w samochodzie). Sposób przewożenia samochodem powinien uniemożliwiać kradzież podczas przestojów na skrzyżowaniach, przejściach dla pieszych lub w korkach.

9.        Pracownik Przedszkola zobowiązany jest do natychmiastowego powiadomienia Dyrektora lub Wicedyrektora Przedszkola w przypadku:

a)        utracenia, kradzieży lub zgubienia nośników, na których utrwalone zostały dane osobowe,

b)        uszkodzenia lub zniszczenia nośników, na których utrwalone zostały dane osobowe,

c)        nieuprawnionej zmiany danych osobowych,

d)        nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3        Procedura rozpoczęcia, zawieszenia i zakończenia pracy przeznaczona dla użytkowników systemów informatycznych służących do przetwarzania danych osobowych

 

 

1.        Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może być realizowany wyłącznie po podaniu własnego identyfikatora oraz właściwego hasła. Zasada ta nie ma zastosowania w przypadku podawania hasła umożliwiającego dostęp do zaszyfrowanego dysku komputera, który jest współdzielony przez kilku użytkowników.

2.        Użytkownik systemu informatycznego odpowiada za wszystkie czynności wykonane przy użyciu identyfikatora, za pomocą którego zalogował się do systemu.

3.        Aktywność użytkowników w systemach informatycznych Przedszkola podlega monitorowaniu  za pomocą wbudowanych mechanizmów systemu operacyjnego Windows.

4.        Celem monitorowania jest umożliwienie Administratorowi danych osobowych wypełnienie obowiązku nałożonego w art.33 rozporządzenia o ochronie danych. Zgodnie z art.33, w przypadku naruszenia ochrony danych osobowych, Administrator danych osobowych bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

5.        Monitorowaniu podlegają następujące zdarzenia występujące w systemach informatycznych:

a)      logowanie i wylogowanie z systemu operacyjnego,

b)      utworzenie i zakończenie procesu,

c)      użycie przez użytkownika uprawnień,

d)      utworzenia, zmiany lub usunięcia konta użytkownika lub grupy, zmiana nazwy, wyłączenie lub włączenie konta użytkownika, ustawienie lub zmiana hasła,

e)      próba zmiany czasu systemowego, próba uruchomienia lub zamknięcia systemu zabezpieczeń, utrata zdarzeń poddawanych inspekcji z powodu awarii systemu inspekcji, rozmiar dziennika zabezpieczeń przekraczający skonfigurowany próg ostrzegawczy,

f)       próba zmiany zasad przypisywania praw użytkownika, zasad inspekcji, zasad konta.

6.        Użytkownik jest zobowiązany do takiego ustawienia monitora, aby osoby nieupoważnione nie miały wglądu do wyświetlanych na ekranie danych osobowych innych osób. W szczególności należy zwrócić uwagę na ustawienie monitora komputera względem okien pomieszczenia.

7.        Minimalne wymagania odnoszące się do wykorzystywanych haseł zakładają, że:

g)      hasło składa się co najmniej z 12 znaków,

h)      hasło złożone jest z dużych i małych liter oraz z cyfr lub znaków specjalnych,

i)       historia haseł ustalona jest na 3 pozycje,

j)       zmiana hasła jest możliwa po 30 dniach od ostatniej zmiany,

k)      zmiana hasła następuje co najmniej raz na 180 dni.

8.        Minimalne wymagania związane z użytkowaniem haseł wynikają z aktualnego stanu wiedzy technicznej i możliwości technologicznych związanych z próbami odgadywania haseł.

9.        Administrator systemu informatycznego służącego do przetwarzania danych osobowych zobowiązany jest do skonfigurowania systemów informatycznych w taki sposób, aby system wymuszał na użytkowniku wprowadzenie hasła zgodnego z minimalnymi wymaganiami przedstawionym w punkcie poprzedzającym.

10.     W przypadku gdy dany system informatyczny służący do przetwarzania danych osobowych nie umożliwia automatycznego wymuszenia haseł spełniających minimalne wymagania, użytkownik jest zobowiązany do samodzielnego ustalenia i zmiany hasła, zgodnie z minimalnymi wymaganiami.

11.     Zasady określone w pkt 5 c)-e) oraz 6-7 nie mają zastosowania do haseł umożliwiających dostęp do zaszyfrowanego dysku komputera.

12.     Administrator systemu informatycznego ustala użytkownikowi hasło tymczasowe przy rejestrowaniu użytkownika w systemie lub gdy użytkownik zapomniał dotychczas użytkowane hasło.

13.     Zmiana hasła tymczasowego jest automatycznie wymuszana przez niektóre systemy informatyczne przy pierwszym zalogowaniu za pomocą tego hasła. W przypadku, gdy dany system nie umożliwia automatycznej zmiany hasła, użytkownik zobowiązany jest wykonać tę czynność samodzielnie, w sposób właściwy dla danego systemu informatycznego.

14.     Haseł nie można zapisywać w sposób jawny i pozostawiać w miejscu dostępnym dla innych osób.

15.     Użytkownik zobowiązany jest do:

a)        zachowania haseł w poufności, nawet po utracie przez nie ważności,

b)        niezwłocznej zmiany hasła, gdy zostało ono ujawnione lub zachodzi podejrzenie, że mogło zostać ujawnione,

c)        stosowania haseł, które nie są powszechnie używanymi słowami, datami, imionami, nazwiskami, numerami rejestracyjnymi samochodów, numerami telefonów,

d)        niewykorzystywania funkcji zapamiętywania haseł w systemach informatycznych.

16.     W celu ochrony przed szkodliwym oprogramowaniem oraz naruszeniem praw licencyjnych, użytkownik nie może bez konsultacji z Administratorem systemu informatycznego:

a)        samodzielnie uruchamiać oprogramowania, niezależnie od tego czy jest ono ściągnięte z Internetu czy pozyskane we własnym zakresie z innych źródeł,

b)        odinstalowywać, blokować lub zmieniać konfiguracji oprogramowania, które zostało zainstalowane przez Administratora systemu informatycznego w celu ochrony komputera przed zagrożeniami.

17.     Szkodliwe oprogramowanie może się pojawić systemach informatycznych poprzez:

a)        przeglądanie zainfekowanych stron internetowych,

b)        otwarcie poczty elektronicznej od nieznanych i nie dających się zweryfikować nadawców,

c)        podłączenie do komputera elektronicznych nośników informacji takich jak: płyty optyczne, dyski przenośne, karty pamięci, pendrivy, na których zostały zapisane pliki zawierające szkodliwe oprogramowanie,

d)        uruchomienie na komputerze oprogramowania, które pod pozorem lub oprócz realizowania pożądanych funkcji użytkowych, zawiera w sobie także szkodliwe oprogramowanie.

18.     Celem działania szkodliwego oprogramowania może być nieuprawniona zmiana, zniszczenie, uszkodzenie, ujawnienie danych osobowych lub uniemożliwienie dostępu do danych osobowych.

19.     W przypadku, gdy użytkownik zauważy skutki działania szkodliwego oprogramowania lub oprogramowanie antywirusowe poinformuje o wykryciu szkodliwego oprogramowania, użytkownik jest zobowiązany wyłączyć komputer oraz powiadomić Dyrektora, Wicedyrektora lub Administratora systemu informatycznego.

20.     Dane osobowe mogą być przesyłane pocztą elektroniczną wyłącznie w postaci zaszyfrowanej lub po poddaniu pseudonimizacji.

21.     Przed czasowym opuszczeniem stanowiska pracy, użytkownik zobowiązany jest:

a)        zablokować komputer poprzez wciśnięcie na klawiaturze klawisza oznaczonego symbolem „” i, nie zwalniając tego klawisza, jednoczesne wciśnięcie klawisza oznaczonego literą „L”,

b)        lub poczekać na uaktywnienie wygaszacza ekranu,

c)        lub wylogować się w sposób właściwy dla danego systemu informatycznego, w którym przetwarzane są dane osobowe.

22.     Wygaszasz ekranu jest automatycznie włączany w przypadku bezczynności trwającej dłużej niż 15 minut.

23.     Po wznowieniu pracy po zablokowaniu komputera lub uaktywnieniu wygaszacza ekranu, należy podać hasło takie samo jak przy logowaniu do systemu operacyjnego Windows.

24.     Po zakończeniu pracy, użytkownik zobowiązany jest do:

a)      wylogowania się z wykorzystywanej aplikacji w sposób właściwy dla danej aplikacji,

b)      zamknięcia systemu operacyjnego komputera w sposób, który prowadzi do fizycznego wyłączenia komputera,

c)      zabezpieczenia przed dostępem osób nieupoważnionych wszelkich nośników informacji, na których utrwalone są dane osobowe.

Załącznik – Wzór oświadczenia o zapoznaniu się z Regulaminem postępowania przy przetwarzaniu danych osobowych

 

 

 

 

                                                         

Imię i nazwisko

 

 

                                                         

Stanowisko

 

 

 

OŚWIADCZENIE

 

 

Oświadczam, że zapoznałam/zapoznałem się z „Regulaminem postępowania przy przetwarzaniu danych osobowych” wprowadzonym Zarządzeniem nr                  z dnia                   Dyrektora Przedszkola Miejskiego nr 2 im. Wandy Chotomskiej, z siedzibą w Kołobrzegu przy ul. Borzymowskiego 8, zrozumiałam/zrozumiałem jego treść i zobowiązuję się do stosowania i przestrzegania postanowień zawartych w „Regulaminie postępowania przy przetwarzaniu danych osobowych”.

 

 

 

 

 

                                                                                                                                                                         

Data i podpis osoby odbierającej oświadczenie                                       Data i podpis osoby składającej oświadczenie