Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałEleonora Wysocka Został zmieniony 8 lat temu
1
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
2
Naruszanie przez nauczycieli i pracowników administracyjnych zasad ochrony danych osobowych przetwarzanych w systemach informatycznych
3
Przepisy ogólne: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) Akty wykonawcze do UODO: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji w GIODO
4
Ustawa z dnia 7 września 1991 r. o systemie oświaty Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela Rozporządzenie Ministra Edukacji Narodowej z dnia 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji Ustawa z dnia 26 października 1982 r. o postępowaniu w sprawach nieletnich Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy
5
PRZYKŁADY NARUSZEŃ Ujawnienie sposobu działania aplikacji i sposobów zabezpieczeń osobom nieupoważnionym Ujawnienie informacji o infrastrukturze informatycznej funkcjonującej w placówce Stwarzanie okazji do pozyskiwania informacji na ten temat przez osoby nieupoważnione
6
PRZYKŁADY NARUSZEŃ Opuszczanie stanowiska pracy z aktywną aplikacją umożliwiającą dostęp do bazy danych osobom nieupoważnionym Dopuszczanie innej osoby do korzystania z aplikacji umożliwiającej dostęp do ba zy danych osobowych Pozostawianie w miejscach widocznych hasła dostępu do bazy danych osobowych
7
PRZYKŁADY NARUSZEŃ Samodzielne instalowanie oprogramowania Samodzielne modyfikowanie parametrów aplikacji
8
PRZYKŁADY NARUSZEŃ Odczytywanie nośników informacji bez uprzedniego sprawdzenia ich przez program antywirusowy Wyrzucanie płyt i innych nośników informacji bez właściwego ich zniszczenia
9
PRZYKŁADY NARUSZEŃ Dopuszczanie do kopiowania danych niezgodnie z procedurą Dopuszczanie do kopiowania dokumentów bez kontroli nad ich kopią
10
PRZYKŁADY NARUSZEŃ Pozostawianie niezamkniętych pomieszczeń w których przetwarza się dane osobowe (sekretariat, pokój księgowej, pokój nauczycielski) Dopuszczanie osób nieznanych do kontaktu ze sprzętem komputerowym
11
PRZYKŁADY NARUSZEŃ Dopuszczanie do podłączania urządzeń do sieci komputerowej, demontażu gniazd i torów kablowych przez osoby spoza służb informatycznych i telekomunikacyjnych Dopuszczanie osób spoza służb informatycznych i telekomunikacyjnych do przebywania w serwerowni lub innych pomieszczeniach węzłów sieci komputerowej
12
PRZYKŁADY NARUSZEŃ Wynoszenie dokumentów lub nośników zawierających dane osobowe bez wiedzy i zgody administratora danych osobowych (laptopy służbowe, dzienniki itp.) Stosowanie zbyt łatwych haseł, naruszanie zasady zmieniania ich co 30 dni, pozostawianie haseł i loginów w widocznych miejscach
13
PRZYKŁADY NARUSZEŃ Brak nawyku wylogowywania się Brak nawyku szyfrowania przesyłanych plików zawierających ważne dane
14
PRZYKŁADY NARUSZEŃ Pozostawianie w miejscach dostępnych teczek akt osobowych, CV kandydatów do pracy, korespondencji z rodzicami, skarg, faxów zawierających dane osobowe Udostępnianie danych przez telefon
15
PRZYKŁADY NARUSZEŃ Nieodpowiednie ustawienie monitora, w sposób umożliwiający wgląd przez osoby postronne Brak należytej staranności przy przetwarzaniu danych wrażliwych (stan zdrowia, wynagrodzenia, kary )
16
Procedura postępowania w przypadku stwierdzenia naruszenia zasad ustawy ochrony danych osobowych
17
1.Wezwać osobę naruszającą zasady do zaprzestania działań. 2.Wezwać służby informatyczne (ABI). 3.Sporządzić raport. 4.Poprawić zabezpieczenia (jeśli sytuacja tego wymaga).
18
ADMINISTRATOR BEZPIECZEŃSTWA CYFROWEGO Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 roku, Administrator Danych Osobowych (Dyrektor szkoły) może (ale nie musi) powołać Administratora Bezpieczeństwa Informacji.
19
ADMINISTRATOR BEZPIECZEŃSTWA CYFROWEGO Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 roku, Administrator Danych Osobowych (Dyrektor szkoły) może (ale nie musi) powołać Administratora Bezpieczeństwa Informacji. ale art. 6, art. 42 ust. 2 ustawy z 26 stycznia 1982r. – Karta Nauczyciela (tekst jedn.: D. U. z 2014r. poz. 191) - art. 22 § 1 ustawy z 26 czerwca 1974r. – Kodeks pracy (tekst jedn. : D. U. z 2014r. poz. 1502).
20
ADMINISTRATOR BEZPIECZEŃSTWA CYFROWEGO Zadania administratora bezpieczeństwa informacji (ABI) nie mogą być stale wykonywane w ramach stosunku pracy nauczyciela, gdyż charakter tych zadań nie odpowiada rodzajowi pracy, którą zobowiązany jest wykonywać nauczyciel na swym stanowisku. Zadania te powinny być powierzone na podstawie odrębnej umowy. Wykonywanie funkcji ABI nie odpowiada rodzajowi pracy nauczyciela (nie mieści się w katalogu zadań, jakie ma realizować), dlatego w ramach tego stosunku pracy nie można powierzyć nauczycielowi stałego wykonywania tego zadania. Problem można rozwiązać, zatrudniając dodatkowo nauczyciela na część etatu jako pracownika niepedagogicznego albo zawierając z nim umowę – zlecenia, i na tej podstawie powierzyć mu wykonywanie tych czynności.
21
1.Wezwać osobę naruszającą zasady do zaprzestania działań 2.Wezwać służby informatyczne (ABI) 3.Sporządzić raport 4.Poprawić zabezpieczenia (jeśli sytuacja tego wymaga)
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.