OPUBLIKOWANO: 15 WRZEŚNIA 2015
ZAKTUALIZOWANO: 8 GRUDNIA 2016
Polityka bezpieczeństwa w szkołach
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745).
Każdy dyrektor szkoły (jako osoba występująca w imieniu administratora danych osobowych) jest obowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych. Jednym z takich dokumentów jest właśnie polityka bezpieczeństwa – zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz danej placówki.
Czym jest polityka bezpieczeństwa?
Jest to dokument zawierający listę rozwiązań i uregulowań umożliwiających odpowiednie zabezpieczenie przetwarzanych przez szkołę danych osobowych. Polityka bezpieczeństwa powinna odnosić się zarówno do zabezpieczenia danych osobowych przetwarzanych w systemach informatycznych, jak i przetwarzanych w formie tradycyjnej. Zgodnie z art. 36 ust. 2 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych „administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych”. Każdy administrator danych powinien zapewnić przetwarzanym danym osobowym właściwą ochronę – odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.
Obowiązek opracowania i wdrożenia polityki bezpieczeństwa wynika również z § 3 i 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Polityka bezpieczeństwa to dokument, który powinien spełniać pewne standardy i wytyczne zawarte w ww. Rozporządzeniu. Jego forma i zakres są więc w części z góry narzucone przepisami prawa. Dodatkowo uregulowania prawne precyzują to, co powinno być zawarte w polityce bezpieczeństwa, w sposób bardzo ogólny. Co więcej, nic nie stoi na przeszkodzie, aby dodać do niej procedury czy wytyczne, o których nie wspomniano w Rozporządzeniu. Poza wymogami formalnymi pamiętać należy bowiem o praktycznej użyteczności tego dokumentu. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w Wyroku z dnia 5 października 2005 r. (II SA/Wa 734/05): „Polityka bezpieczeństwa to dokument, który powinien być dostosowany do konkretnych warunków przetwarzania danych osobowych u określonego administratora danych”.
Dobrze przygotowana polityka bezpieczeństwa powinna oddawać w pełni specyfikę działania szkoły. W niewielkiej placówce wystarczy prosta dokumentacja, podporządkowująca wszystkie najważniejsze zadania związane z ochroną danych osobowych administratorowi bezpieczeństwa informacji (ABI), jeżeli dyrektor zdecydował się na jego powołanie. W większej placówce warto zadbać o to, aby przy niektórych czynnościach ABI miał wsparcie w postaci innych pracowników.
Elementy polityki bezpieczeństwa
Nie istnieje jeden uniwersalny wzór polityki bezpieczeństwa. Dokument powinien być dopasowany do jednostki organizacyjnej (jej usytuowania, zachodzących w niej procesów, stosowanej dotychczas polityki bezpieczeństwa, wielkości, indywidualnych potrzeb itd.). W związku z tym należy przedstawić, jak taki dokument powinien wyglądać, zaznaczając miejsca wymagające odniesienia do potrzeb danej placówki.
Wskazuje się, że wymogami formalnymi dotyczącymi polityki bezpieczeństwa są:
- spełnienie wytycznych, o których mowa w § 3 i 4 Rozporządzenia,
- podpisanie przez osobę upoważnioną do reprezentacji administratora danych,
- przechowywanie w formie papierowej,
- bieżące aktualizowanie i przeglądanie poprawności jej stosowania,
- terminologia, zakres i cel stosowania ww. dokumentacji.
Na samym początku warto zamieścić w dokumencie intencje, jakimi się kierowano, pisząc daną politykę, np.:
- zgodność z przepisami prawa,
- chęć lepszego zabezpieczenia prawa do prywatności dzieci i ich rodziców,
- zabezpieczenie prawa do prywatności przysługującego pracownikom szkoły,
- zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania.
Wyjaśnienia i uzasadnienie przyjętej polityki sprawią, że dokument będzie lepiej dopasowany do potrzeb szkoły.
Poniżej zostały omówione te elementy polityki bezpieczeństwa, które zostały narzucone przepisami prawa i muszą być zawarte w dokumencie.
Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe
W tej części dokumentu powinno znaleźć się określenie pomieszczeń, w których przetwarzane są dane osobowe. Chodzi tutaj zarówno o miejsca, w których dokonuje się operacji na danych osobowych (modyfikowanie, kopiowanie, gromadzenie), jak i miejsca, gdzie przechowuje się nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, stacje komputerowe, serwery itp.).
W praktyce nie jest możliwe bardzo precyzyjne określenie obszaru przetwarzania danych osobowych. Różnego rodzaju listy papierowe czy wiadomości wymieniane drogą elektroniczną „krążą” po wszystkich pomieszczeniach szkoły. Zdarza się, że administratorzy danych osobowych dają swoim pracownikom smartfony (mieszczące duże ilości danych osobowych), które przemieszczają się wraz z właścicielami, a zatem trudno określić ich stałą lokalizację.
