REJESTR NARUSZEŃ PRZY PRZETWARZANIU DANYCH OSOBOWYCH
SZKOŁY PODSTAWOWEJ W GIERAŁTOWCU

GIERAŁTOWIEC 42
59-500 ZŁOTORYJA

str.1

SPIS TREŚCI
                    Rozdział 1                  Postanowienia ogólne                                                   strona 2
                    Rozdział 2                  Definicje                                                                      strona 2
                    Rozdział 3                  Identyfikacja naruszeń                                                  strona 4
                    Rozdział 4                  Procedury postępowania w przypadku naruszeń           strona 6
                    Rozdział 5                  Postanowienia końcowe                                               strona 8
ZAŁĄCZNIKI:
                    1. Raport z naruszenia
                    2. Dziennik naruszeń
                    3. Analiza naruszeń
 

str.2

ROZDZIAŁ 1
Postanowienia ogólne
§ 1 Celem Rejestru naruszeń przy przetwarzaniu danych zwanym dalej „Rejestrem”, jest aktywna kontrola nad przypadkami naruszeń i podejrzeniami naruszeń w celu zapewnienia poufności, integralności, rozliczalności i ciągłości przetwarzanych danych osobowych. Przestrzeganie postanowień niniejszego Rejestru służyć ma wykrywaniu i właściwemu reagowaniu na przypadki naruszenia ochrony danych osobowych.
§ 2
Rejestr został utworzony w związku z wymaganiami zawartymi w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922) oraz Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024). W razie zmiany obowiązujących przepisów prawa powodujących niezgodność niniejszego dokumentu z nimi, Rejestr zostanie dostosowana do obowiązujących przepisów.

§ 3
1. Osobą sprawującą nadzór nad przestrzeganiem zasad ochrony danych osobowych oraz odpowiedzialną za nadzorowanie przypadków naruszeń jest:
Dyrektor Szkoły Podstawowej w Gierałtowcu
2. Osobą sprawującą nadzór nad przetwarzaniem danych w systemach informatycznych oraz dokonującą stałych kontroli i oceny funkcjonowania mechanizmów technicznych zabezpieczeń systemów informatycznych służących do przetwarzania danych jest:
Inspektor Ochrony Danych Osobowych
ROZDZIAŁ 2
Definicje
§ 4
Przez użyte w Rejestrze określenia należy rozumieć:
1. administrator danych osobowych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych;
2. administrator bezpieczeństwa informacji (ABI) – rozumie się przez to osobę wyznaczoną przez administratora danych osobowych, nadzorującą przestrzeganie zasad ochrony danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem osobom
 

str.3

nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
ustawa – rozumie się przez to ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2016 r. poz. 922);
rozporządzenie – rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);
3. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
4. zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
5. przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
6. system informatyczny – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
7. system tradycyjny – rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze;
8. zabezpieczenie danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;
9. administrator systemu informatycznego – rozumie się przez to osobę lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi;
10. użytkownik – rozumie się przez to upoważnionego przez administratora danych osobowych wyznaczonego do przetwarzania danych osobowych pracownika;
11. identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
12. hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
13. elektroniczny nośnik danych – materiał lub urządzenie służące do zapisywania, przechowywania lub odczytywania danych osobowych w postaci cyfrowej lub analogowej;
14. poufność danych – właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym osobom;
15. integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
16. rozliczalność danych – właściwość zapewniająca, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
 

str.4

17. integralność systemu – rozumiana jest jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;
18. dostępność informacji – zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
19. naruszenie bezpieczeństwa danych – działania zewnętrze lub wewnętrzne w następstwie których może dojść lub doszło do zniszczenia danych, wycieku danych lub naruszenia ich poufności;
20. uchybienie - świadome lub nieświadome działania zmierzające do zagrożenia wskutek, których może dojść do utraty danych osobowych, kradzieży danych osobowych lub uszkodzenia nośników danych;
21. zagrożenie - świadome lub nieświadome działania wskutek, których doszło do utraty danych osobowych, kradzieży danych osobowych lub uszkodzenia nośników danych. ROZDZIAŁ 3
Identyfikacja naruszeń
§ 5
Podział zagrożeń:
1. Zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu, awarie serwerów) – ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu informatycznego, zostaje zakłócona ciągłość systemu, ale nie dochodzi do utraty poufności danych.
2. Zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki informatyczne, pomyłki ludzkie, awarie sprzętowe, błędy oprogramowania, pogorszenie jakości sprzętu lub oprogramowania, niewłaściwe zabezpieczenie pomieszczeń lub sprzętu) – ich występowanie może doprowadzić do zniszczenia danych, zakłócenia ciągłości pracy systemu i może dojść do naruszenia poufności danych.
3. Zagrożenia zamierzone – (świadome i celowe działania np. włamanie do systemu - nieuprawniony dostęp do systemu z zewnątrz, działanie wirusów komputerowych - nieuprawniony dostęp do systemu z wewnątrz, udostępnienie danych osobie nieupoważnionej, kradzież sprzętu informatycznego zawierającego dane, świadome zniszczenie danych) – ich występowanie powoduje naruszenie poufności danych, ale z reguły nie powoduje uszkodzenia infrastruktury technicznej i zakłócenia ciągłości pracy.
§ 6
Naruszenie ochrony danych osobowych może być spowodowane:
1) niewłaściwym oddziaływaniem czynników zewnętrznych, takich jak: temperatura otoczenia, wilgotność, pole elektromagnetyczne, wirusy komputerowe, skutki powodzi, pożaru, itp.;
2) niekontrolowanym działaniem osób trzecich, powodującym zakłócenia systemu podczas włamania, niewłaściwym działaniem zespołów serwisowych, przetwarzaniem danych
 

str.5

osobowych bez uprawnień, tworzeniem w zbiorach użytkownika nieautoryzowanych kont dostępu;
3) umyślnym lub nieumyślnym działaniem, a nawet zaniechaniem działania użytkowników przetwarzających dane osobowe.
§ 7
Za naruszenie lub podejrzenie naruszenia bezpieczeństwa danych uważa się przede wszystkim:
1. losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne itp.);
2. niewłaściwe parametry środowiska (nadmierna wilgotność, wysoka temperatura, odziaływanie pola elektromagnetycznego, wibracje lub wstrząsy wywołane urządzeniami przemysłowymi);
3. awarię sprzętu lub oprogramowania, która wyraźnie wskazuje na umyślne działanie w kierunku naruszenia danych;
4. ujawnienie nieautoryzowanych kont dostępu do systemu;
5. naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa (np. niewylogowanie się z systemu przed opuszczeniem stanowiska pracy);
6. brak możliwości zalogowania się do systemu;
7. zmiany w wyglądzie aplikacji zawierających dane osobowe;
8. ograniczenie lub spowolnienie pracy systemu;
9. brak aktywnego programu antywirusowego;
10. brak dostępu do zawartości zbioru danych – zbiór istnieje, lecz nie można go otworzyć;
11. pojawienie się niestandardowych komunikatów generowanych przez system;
12. informacja o zainfekowaniu systemu wirusami;
13. fizyczne zniszczenie lub podejrzenie zniszczenia urządzeń systemu;
14. brak urządzeń systemu lub nośników informacji magnetycznych;
15. stwierdzenie prób włamania do systemu lub nieautoryzowanej modyfikacji danych;
16. nieuprawnione udostępnianie danych;
17. utratę lub zniszczenie nośników danych;
18. stosowanie nieodpowiednich technik usuwania danych;
19. brak możliwości fizycznego dostępu do danych (np. zagubiony klucz do pomieszczenia lub mebli biurowych);
20. zmienioną zawartość zbioru, niepoprawną treść/postać;
21. próbę lub fakt nieuprawnionego dostępu do zbioru danych lub pomieszczenia, w którym jest przetwarzany np. zmiana ułożenia kolejności dokumentów, otwarte drzwi lub meble biurowe, nietypowe ustawienie sprzętu;
22. zmianę lub utratę danych zapisanych na kopiach awaryjnych lub zapisach archiwalnych;
23.Pozostawienie dziennika lekcyjnego w Sali.
24. Pozostawienie dokumentacji przebiegu nauczania w miejscu ogólnodostępnym.
 

str.6

ROZDZIAŁ 4
Procedury postępowania w przypadku naruszeń
§ 8
1. Każdy użytkownik w przypadku stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenie systemu ochrony, o których mowa w § 7 niniejszego Rejestru, zobowiązany jest do bezzwłocznego powiadomienia o tym fakcie osoby odpowiedzialnej wskazanej w § 3 niniejszego Rejestru.
2. W razie braku możliwości zawiadomienia osoby nadzorującej naruszenia, należy zawiadomić bezpośredniego przełożonego.
3. Do czasu przybycia na miejsce osoby nadzorującej przypadki naruszeń użytkownik powinien:
a) niezwłocznie podjąć czynności niezbędne do powstrzymania skutków naruszenie ochrony (o ile to jest możliwe),
b) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, na ile to możliwe należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia ochrony i udokumentowanie zdarzenia podjąć stosowne działania,
c) podjąć, stosownie do zaistniałej sytuacji działania, które zapobiegną ewentualnej utracie danych osobowych,
d) ustalić przyczynę i sprawcę naruszenia ochrony oraz zapisać wszelkie informacje i okoliczności związane ze zdarzeniem,
e) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia,
f) zabezpieczyć dostęp do pomieszczenia lub urządzenia.
4. Dokonywanie zmian w miejscu naruszenia ochrony jest dopuszczalne tylko w wypadku konieczność ratowania osób, mienia albo zapobiegania powstaniu innego niebezpieczeństwa.
5. W przypadku stwierdzenia przez użytkownika naruszenia bezpieczeństwa danych w systemie informatycznym należy:
a) odłączyć system od sieci komputerowej,
b) wykonać kopie bezpieczeństwa danych na oddzielnym nośniku informacji,
c) wyłączyć system aby zapobiec działaniu złośliwego oprogramowania lub hakera.
§ 9
1. Po przybyciu na miejsce naruszenia bezpieczeństwa danych osobowych osoba odpowiedzialna za nadzór nad naruszeniami podejmuje następujące kroki:
a) zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości pracy,
b) wysłuchuje relacji użytkownika lub osoby, która dokonała powiadomienia,
 

str.7

c) podejmuje niezbędne działania mające na celu uniemożliwienie dalszego naruszenia bezpieczeństwa danych (odłączenie wadliwych urządzeń, zablokowanie dostępu do sieci telekomunikacyjnej, programów, zbiorów danych itp.),
d) zabezpiecza, utrwala wszelkie informacje i dokumenty mogące stanowić pomoc przy ustaleniu przyczyn naruszenia,
e) dokonuje analizy stanu zabezpieczeń wraz z oszacowaniem rozmiaru szkód powstałych na skutek naruszenia,
f) może zażądać dokładnej relacji z zaistniałego naruszenia bezpieczeństwa danych osobowych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku z zaistniałym naruszeniem,
g) nawiązuje kontakt ze specjalistami (jeśli zachodzi taka potrzeba),
h) poddaje analizie metody pracy osób upoważnionych do przetwarzania danych osobowych,
i) proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń, oraz terminu wznowienia przetwarzania danych osobowych); analiza ta powinna zawierać wszechstronną ocenę zaistniałego naruszenia bezpieczeństwa, wskazanie odpowiedzialnych, wnioski co do ewentualnych działań proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości,
j) dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych sporządzając raport, którego wzór stanowi zał. nr 1 do niniejszego Rejestru.
2. W przypadku naruszenia danych w systemie informatycznym osoba nadzorująca przetwarzanie danych w systemie informatycznym:
a) sprawdza stan urządzeń wykorzystywanych do przetwarzania danych osobowych,
b) w celu powstrzymania lub ograniczenia dostępu do danych osoby nieupoważnionej podejmuje odpowiednie kroki zmierzające do: fizycznego odłączenia urządzeń i segmentów sieci, które mogłyby umożliwić dostęp do zbiorów danych osobie nieupoważnionej, wylogowania użytkownika systemu podejrzewanego o naruszenie zabezpieczenia ochrony danych, zmiany hasła poprzez które uzyskano nielegalny dostęp, aby uniknąć ponownej próby włamania,
c) przywraca prawidłowy stan działania systemu,
d) sprawdza sposób działania programów (w tym obecność wirusów komputerowych),
e) sprawdza jakość komunikacji w sieci telekomunikacyjnej,
f) wyraża zgodę na ponowne uruchomienie komputera lub innych urządzeń.
§ 10
Osoba odpowiedzialna za nadzór nad naruszeniami podejmuje niezbędne działania w celu wyeliminowania naruszeń zabezpieczeń danych w przyszłości, a w szczególności:
1. Jeżeli przyczyną zdarzenia był stan techniczny urządzenia, sposób działania programu, uaktywnienie się wirusa komputerowego lub inny atak sieciowy, jakość komunikacji w sieci telekomunikacyjnej, niezwłocznie zleca przeprowadzenie przeglądów oraz konserwacji urządzeń i programów, ustalenie źródła pochodzenia wirusa komputerowego lub innego ataku sieciowego oraz wdrożenie skuteczniejszego zabezpieczenia antywirusowego, a w miarę potrzeby kontaktuje się z dostawcą usług telekomunikacyjnych w celu usprawnienia systemu zabezpieczeń.
 

str.8

2. Jeżeli przyczyną zdarzenia były wadliwe metody pracy, błędy i zaniedbania osób zatrudnionych przy przetwarzaniu danych osobowych, przeprowadza dodatkowe kursy i szkolenia osób upoważnionych do przetwarzania danych osobowych, a wobec osób winnych zaniedbań wnioskuje o wyciągnięcie konsekwencji przewidzianych prawem.
3. Jeżeli przyczyną zdarzenia było włamanie, w celu nielegalnego pozyskania danych dokonuje szczegółowej analizy wdrożonych środków zabezpieczenia i proponuje wdrożenie skuteczniejszej ochrony fizycznej.
4. Jeżeli przyczyną zdarzenia był czyn zabroniony lub zachodzi jego uzasadnione podejrzenie, zawiadamia organy ścigania.
§ 11
1. Osoba nadzorująca przypadki naruszeń prowadzi dziennik naruszeń, który stanowi zał. nr 2 do niniejszego Rejestru.
2. Osoba nadzorująca przypadki naruszeń dokonuje rocznej analizy przypadków naruszeń. Dokument do analizy naruszeń stanowi zał. nr 3 do niniejszego Rejestru.
ROZDZIAŁ 5
Postanowienia końcowe
§ 12
1. Każdy użytkownik przetwarzający dane osobowe w zbiorach danych zobowiązany jest zapoznać się z niniejszym Rejestrem i stosować przepisy w nim zawarte na swoim stanowisku pracy.
2. Nieprzestrzeganie zasad wskazanych w niniejszym Rejestrze stanowi niewykonanie bądź nienależyte wykonanie obowiązków pracowniczych lub niewykonanie bądź nienależyte wykonanie innej niż umowa o pracę umowy stanowiącej podstawę zatrudnienia, co może wiązać się dla osoby zatrudnionej z odpowiedzialnością majątkową wobec administratora danych.
3. Nadużycie przez użytkownika postanowień niniejszego Rejestru może stanowić podstawę do pociągnięcia go do odpowiedzialności dyscyplinarnej lub karnej, w trybie i na zasadach przewidzianych przepisami prawa.
§ 13
W sprawach nie uregulowanych niniejszą Instrukcją zastosowanie znajdują przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
§ 16
Niniejszy dokument wchodzi w życie z dniem 25.05.2018 roku.
Podpis Administratora