•  Polityka dziennika elektronicznego
          w Szkole Podstawowej nr 1
          z Oddziałami Integracyjnymi w Przasnyszu

           

          1. Wstęp

          1. Niniejszy dokument jest częścią zbioru polityk bezpieczeństwa.

          2. Informacje wstępne

          1. Administrator wprowadził w Placówce dziennik elektroniczny funkcjonujący od roku szkolnego 2018/2019.

          2. Dziennik elektroniczny został wprowadzony na podstawie § 8 ust. 1 rozporządzenia Ministra Edukacji Narodowej z 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (dalej „rozporządzenie w sprawie dokumentacji”) wydanego do ustawy z 14 grudnia 2016 r. - Prawo oświatowe.

          3. Przetwarzanie danych w dzienniku elektronicznym, analogicznie jak przetwarzanie danych w dzienniku papierowym, odbywa się na mocy przepisów prawa (art. 6 ust. 1 lit. c RODO).

          4. Z dostawcą dziennika elektronicznego Administrator zawarł umowę przetwarzania danych zgodną z art. 28. RODO.

          3. Dostęp do dziennika elektronicznego

          1. Dziennikiem zarządza administrator dziennika, wyznaczony przez Administratora Danych Osobowych. Zajmuje się on tworzeniem kont oraz konfigurowaniem parametrów działania dziennika. Administrator dziennika, prowadzi aktualny spis administratorów dziennika w dokumentacji ochrony danych.

          2. Każdy użytkownik dziennika elektronicznego posiada własne konto, za które osobiście odpowiada.

          3. W dzienniku występują 4 główne kategorie kont:

            1. konta administracji szkolnej

            2. konta nauczycieli

            3. konta uczniowskie

            4. konta rodziców

          4. Administratorzy dziennika są zobowiązani do takiej konfiguracji kont, aby użytkownicy mieli oni dostęp wyłącznie do danych, do których są uprawnieni.

          5. Każdy użytkownik otrzymuje od Administratora login i hasło służące do pierwszego logowania. Login jednoznacznie identyfikuje użytkownika i nie zostanie przydzielony innemu użytkownikowi, nawet po ustaniu aktywności konta.

          6. Każdy użytkownik jest zobowiązany do przestrzegania zasad niniejszej polityki, także użytkownicy kont rodzicielskich oraz uczniowskich.

          4. Zasady bezpieczeństwa

          4.1. Bezpieczeństwo hasła

          1. Hasło użytkownika stanowi tajemnicę i nie może być nikomu ujawniane, nawet innym użytkownikom o tych samych uprawnieniach. Tajemnicą objęte są również stare hasła, które uległy już zmianie na nowe. 

          2. Hasło i login rodzica lub ucznia odbiera rodzić/ opiekun prawny.
            Hasło ucznia może odebrać uczeń. W obu przypadkach odbiór jest potwierdzony pisemnie.  

          3. Zabronione jest udostępnianie nie tylko hasła, ale i konta. Każdy użytkownik pracuje z własnym kontem samodzielnie. Zabronione jest również udostępnianie kont rodzicielskich uczniom.

          4. Użytkownik powinien przestrzegać zasad bezpieczeństwa hasła, takich jak:

            1. konieczność zmiany hasła za każdym razem, gdy występuje choć niewielkie podejrzenie, że obecne hasło mogło zostać poznane przez osobę nieuprawnioną;

            2. konieczność okresowej zmiany hasła, z częstotliwością zależną od czasu wymuszonego przez program:

          − nie rzadziej niż raz na kwartał przy wykorzystywaniu hasła wyłącznie na zaufanych komputerach w warunkach domowych,

          − nie rzadziej niż raz na miesiąc przy wykorzystywaniu hasła wyłącznie na zaufanych komputerach w warunkach publicznych,

          − nie rzadziej niż raz na tydzień przy wykorzystywaniu hasła na niezaufanych komputerach (np. w bibliotece szkolnej);

            1. konieczność dobierania tzw. bezpiecznych haseł, czyli haseł zawierających małe i duże litery, znaki specjalne , cyfry, − nie kojarzących się z właścicielem hasła i nie nadających się do użycia jako hasło do publicznej wiadomości..

            2. zakaz zapisywania haseł w sposób jawny w miejscu niezabezpieczonym[1].

          4.2. Bezpieczeństwo komputera

          1. Wykorzystanie dziennika elektronicznego przez nauczycieli i administrację możliwe jest wyłącznie na zaufanych komputerach. Mogą to być komputery służbowe udostępnione przez Administratora do celów obsługi dziennika albo komputery domowe nauczycieli.

          2. W przypadku kont uczniowskich i rodzicielskich dopuszcza się (choć zdecydowanie się tego nie zaleca) sporadyczne wykorzystanie konta na komputerach niezaufanych (biblioteka, komputery w pracy rodzica, etc.), jednak wtedy zaleca się częstą zmianę hasła.

          3. W przypadku wykorzystywania konta na komputerach innych niż udostępnione przez Administratora do obsługi dziennika elektronicznego, pełną odpowiedzialność za bezpieczeństwo ponosi użytkownik konta.

          W szczególności powinien on zadbać o to, aby:

            1. Komputer nie był zawirusowany ani nie zawierał programu przechwytującego hasła. Dotyczy to również przeglądarki internetowej, która może zostać zawirusowana złośliwym dodatkiem[2].

            2. Przeglądarka nie miała aktywnej funkcji zapisywania hasła.

            3. Ułożenie klawiatury i monitora uniemożliwiało podejrzenie hasła przez osoby trzecie.

            4. Ułożenie monitora uniemożliwiało odczytanie danych przez osoby trzecie.

            5. Komputer nie znajdował się w trybie udostępniania pulpitu[3] (na przykład obsłudze serwisowej lub w czasie zdalnego nauczania).

            6. System operacyjny komputera był zaktualizowany.

            7. Po zakończeniu pracy nastąpiło wylogowanie z konta dziennika.

          2. W przypadku jakichkolwiek wątpliwości co do  bezpieczeństwa komputera, użytkownik zobowiązany jest zrezygnować z wykorzystania na nim dziennika elektronicznego.

          4.3. Bezpieczeństwo wiadomości oraz załączników

          1. Dziennik elektroniczny umożliwia przesyłanie wiadomości, których treść jest przechowywana w systemie dziennika i jest tak bezpieczna, jak bezpieczny jest sam dziennik oraz jak bezpiecznie zostało ochronione hasło.

          2. Dziennik elektroniczny umożliwia dołączanie załączników do wiadomości, jednak są one przetwarzane poza systemem dziennika. Są one przetwarzane przez podmioty trzecie, zależne od dołączonego systemu chmurowego (OneDrive, Google Drive, Dropbox). W związku z tym:

            1. W przypadku kont nauczycieli i administracji szkolnej dopuszczalne jest dołączanie wyłącznie chmurowych dysków powiązanych ze służbowymi kontami, które powinny być chronione analogicznie jak konta dziennika.

            2. W przypadku kont uczniowskich, zaleca się podłączanie dysków szkolnych kont uczniowskich oraz nieprzesyłanie w załącznikach istotnych danych osobowych.

            3. W przypadku kont rodzicielskich zaleca się uważny dobór konta dostawcy chmurowego oraz unikanie przesyłania w załącznikach istotnych danych osobowych.

          5. Postępowanie w przypadku naruszenia

          1. W przypadku wykrycia naruszenia ochrony danych lub naruszenia bezpieczeństwa hasła, a także w przypadku podejrzenia takiego naruszenia, użytkownik zobowiązany jest do niezwłocznego zawiadomienia Administratora. 

           

           

           

          [1] Zaleca się stosowanie elektronicznych portfeli na hasła, takich jak KeyPass XC ( https://keepassxc.org/ ) lub papierowych notatników na hasła zabezpieczonych w zamykanym sejfie, kasetce lub szafie pancernej.

          [2] Złośliwe dodatki mogą działać niezależnie od systemu operacyjnego i nawet uznawane za bezpieczne systemy MacOS czy Linux nie zapewnią wtedy bezpieczeństwa danych.

          [3] Udostępnianie pulpitu jest wykorzystywane przez administratorów i serwisantów udzielających pomocy technicznej przy pomocy takich programów jak TeamViewer, AnyDesk, DW Service, LogMe In itp. Może być także aktywne podczas korzystania z narzędzi takich jak Meet, Teams, Zoom, Skype czy innych do prowadzenia zdalnego nauczania lub rozmów.