Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”

Naruszanie przez nauczycieli i pracowników administracyjnych zasad ochrony danych osobowych przetwarzanych w systemach informatycznych

Przepisy ogólne:  Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) Akty wykonawcze do UODO: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji w GIODO

Ustawa z dnia 7 września 1991 r. o systemie oświaty Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela Rozporządzenie Ministra Edukacji Narodowej z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji Ustawa z dnia 26 października 1982 r. o postępowaniu w sprawach nieletnich Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy

PRZYKŁADY NARUSZEŃ Ujawnienie sposobu działania aplikacji i sposobów zabezpieczeń osobom nieupoważnionym Ujawnienie informacji o infrastrukturze informatycznej funkcjonującej w placówce Stwarzanie okazji do pozyskiwania informacji na ten temat przez osoby nieupoważnione

PRZYKŁADY NARUSZEŃ Opuszczanie stanowiska pracy z aktywną aplikacją umożliwiającą dostęp do bazy danych osobom nieupoważnionym Dopuszczanie innej osoby do korzystania z aplikacji umożliwiającej dostęp do ba zy danych osobowych Pozostawianie w miejscach widocznych hasła dostępu do bazy danych osobowych

PRZYKŁADY NARUSZEŃ Samodzielne instalowanie oprogramowania Samodzielne modyfikowanie parametrów aplikacji

PRZYKŁADY NARUSZEŃ Odczytywanie nośników informacji bez uprzedniego sprawdzenia ich przez program antywirusowy Wyrzucanie płyt i innych nośników informacji bez właściwego ich zniszczenia

PRZYKŁADY NARUSZEŃ Dopuszczanie do kopiowania danych niezgodnie z procedurą Dopuszczanie do kopiowania dokumentów bez kontroli nad ich kopią

PRZYKŁADY NARUSZEŃ Pozostawianie niezamkniętych pomieszczeń w których przetwarza się dane osobowe (sekretariat, pokój księgowej, pokój nauczycielski) Dopuszczanie osób nieznanych do kontaktu ze sprzętem komputerowym

PRZYKŁADY NARUSZEŃ Dopuszczanie do podłączania urządzeń do sieci komputerowej, demontażu gniazd i torów kablowych przez osoby spoza służb informatycznych i telekomunikacyjnych Dopuszczanie osób spoza służb informatycznych i telekomunikacyjnych do przebywania w serwerowni lub innych pomieszczeniach węzłów sieci komputerowej

PRZYKŁADY NARUSZEŃ Wynoszenie dokumentów lub nośników zawierających dane osobowe bez wiedzy i zgody administratora danych osobowych (laptopy służbowe, dzienniki itp.) Stosowanie zbyt łatwych haseł, naruszanie zasady zmieniania ich co 30 dni, pozostawianie haseł i loginów w widocznych miejscach

PRZYKŁADY NARUSZEŃ Brak nawyku wylogowywania się Brak nawyku szyfrowania przesyłanych plików zawierających ważne dane

PRZYKŁADY NARUSZEŃ Pozostawianie w miejscach dostępnych teczek akt osobowych, CV kandydatów do pracy, korespondencji z rodzicami, skarg, faxów zawierających dane osobowe Udostępnianie danych przez telefon

PRZYKŁADY NARUSZEŃ Nieodpowiednie ustawienie monitora, w sposób umożliwiający wgląd przez osoby postronne Brak należytej staranności przy przetwarzaniu danych wrażliwych (stan zdrowia, wynagrodzenia, kary )

Procedura postępowania w przypadku stwierdzenia naruszenia zasad ustawy ochrony danych osobowych

1.Wezwać osobę naruszającą zasady do zaprzestania działań. 2.Wezwać służby informatyczne (ABI). 3.Sporządzić raport. 4.Poprawić zabezpieczenia (jeśli sytuacja tego wymaga).

ADMINISTRATOR BEZPIECZEŃSTWA CYFROWEGO Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 roku, Administrator Danych Osobowych (Dyrektor szkoły) może (ale nie musi) powołać Administratora Bezpieczeństwa Informacji.

ADMINISTRATOR BEZPIECZEŃSTWA CYFROWEGO Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 roku, Administrator Danych Osobowych (Dyrektor szkoły) może (ale nie musi) powołać Administratora Bezpieczeństwa Informacji. ale art. 6, art. 42 ust. 2 ustawy z 26 stycznia 1982r. – Karta Nauczyciela (tekst jedn.: D. U. z 2014r. poz. 191) - art. 22 § 1 ustawy z 26 czerwca 1974r. – Kodeks pracy (tekst jedn. : D. U. z 2014r. poz. 1502).

ADMINISTRATOR BEZPIECZEŃSTWA CYFROWEGO Zadania administratora bezpieczeństwa informacji (ABI) nie mogą być stale wykonywane w ramach stosunku pracy nauczyciela, gdyż charakter tych zadań nie odpowiada rodzajowi pracy, którą zobowiązany jest wykonywać nauczyciel na swym stanowisku. Zadania te powinny być powierzone na podstawie odrębnej umowy. Wykonywanie funkcji ABI nie odpowiada rodzajowi pracy nauczyciela (nie mieści się w katalogu zadań, jakie ma realizować), dlatego w ramach tego stosunku pracy nie można powierzyć nauczycielowi stałego wykonywania tego zadania. Problem można rozwiązać, zatrudniając dodatkowo nauczyciela na część etatu jako pracownika niepedagogicznego albo zawierając z nim umowę – zlecenia, i na tej podstawie powierzyć mu wykonywanie tych czynności.

1.Wezwać osobę naruszającą zasady do zaprzestania działań 2.Wezwać służby informatyczne (ABI) 3.Sporządzić raport 4.Poprawić zabezpieczenia (jeśli sytuacja tego wymaga)