Prohlášení o souladu s GDPR
Zásady ochrany osobních údajů
Společnost BAKALÁŘI software s.r.o. se sídlem Čs. armády 2, 261 01 Příbram IV, IČO 27483045, tímto prohlášením deklaruje, že přijala příslušná organizační a technická opatření pro zajištění ochrany osobních údajů ve smyslu zákona o ochraně osobních údajů č. 101/2000 Sb. a GDPR a souvisejících legislativních norem, kde Bakaláři software s.r.o. vystupuje v roli zpracovatele osobních údajů.
Společnost BAKALÁŘI software s.r.o. dále prohlašuje, že její produkt software Bakaláři je v souladu s nařízením normy GDPR za splnění bezpečnostních podmínek na straně uživatele uvedených v soupisu požadavků. Popsané bezpečnostní požadavky budou průběžně aktualizovány dle zpřesňujících se legislativních požadavků.
S případnými dotazy k nastavení se prosím obracejte na podpora@bakalari.cz.
Soupis bezpečnostních požadavků k 1. 5. 2018
Software Bakaláři
- Je nainstalována aktuální verze Bakalářů včetně nejnovějších průběžných aktualizací.
- Aktuální data jsou uložena na SQL serveru, kde ručíte za bezpečnost, nebo aktuální data máte uložena na Bakalářském cloudu.
- Webový přístup je provozován zabezpečeně přes https protokol.*
- Od uživatelů je vyžadována vysoká složitost hesla. Nejméně 8 znaků, nejlépe 12-14 znaků. Uživatelé jsou poučeni o zacházení s hesly (nesdělovat, nepsat na pomocné papíry, pravidelně měnit…)
- Doporučujeme používat dodatečné bezpečnostní prvky (např. počítače v zamčených kabinetech, pro přihlášení přístupové karty,…).*
- Je nastaven mechanismus na předávání hesla rodičům a žákům (a jeho změnu).*
- Jsou správně nastavena práva dle funkcí v systému Bakaláři včetně správného nastavení práva přístupu k jednotlivým položkám osobních údajů.*
- Je nastaveno automatické odhlašování tam, kde je to možné (Portál, Třídní kniha…), uživatelé jsou instruovani o nutnosti zamykání počítače vždy, pokud je bez dozoru.*
- Pokud to není nutné, nikdo nepoužívá k běžné práci administrátorský účet Správce systému Bakaláři.
- Je pod kontrolou seznam všech uživatelů, kteří mohou do systému vstupovat, a je definován způsob, jak tento seznam udržovat.
Systém a školní síť
- Pravidelně jsou aktualizovány počítače ve školní síti, pokud škola vlastní i mobilní přístroje, aktualizujete i je.
- Jsou nastaveny síťové bezpečnostní prvky - firewall, proxy apod. a pravidelně je aktualizujete.
- Do části školní sítě s instalací systému Bakaláři mají přístup pouze oprávnění zaměstnanci školy.
- Jsou správně nastavena práva přístupů do školní sítě až do úrovně adresářů.
- Je vytvořena směrnice chování zaměstnanců školy ve školní síti.
- Je správně nastavena wi-fi síť ve škole, aby byla správně zabezpečena.
- Veškerý potřebný software na školní počítače instaluje pouze IT specialista, nebo pověřená osoba.
- Uživatelé mají zakázáno používání vlastních přenosných paměťových zařízení (Flash disky, CD…), nebo jsou poučeni o bezpečném zacházení, aby se eliminovala možnost zanesení virů do školní sítě.
- Každý uživatel pracuje na počítačích ze svého vlastního účtu. Není využíván žádný společný účet.
- Nikdo nepoužívá k běžné práci systémový či administrátorský účet.
- Uživatelé jsou poučeni o opatrnosti při práci s maily - otvírání neznámých příloh, posílání osobních údajů atd.
Aktuální data a datové soubory
- Aktuální data jsou pravidelně zálohována pro omezení možnosti ztráty.
- Soubory a složky záloh jsou zabezpečeny proti neoprávněné manipulaci.
Archiv elektronických dat
- Existují jasná a sepsaná pravidla na ukládání archivních souborů dat Bakalářů.
- Je proveden podrobný audit všech disků a nosičů se starými archivy a jsou podřízena novým pravidlům.
Údaje žáků a rodičů
- Je provedena revize údajů, které o žácích a zákonných zástupcích evidujete.
- Je definován a nasazen mechanismus získávání souhlasů od žáků a zákonných zástupců.
- Existují souhlasy na zpracování fotografií žáků a jejich zákonných zástupců.
- Existují souhlasy na zveřejňování děl a prací žáků.
- Existují souhlasy na případné předávání osobních údajů pořadatelům soutěží.
- Existují souhlasy na uchování údajů o zdravotní pojišťovně za účelem předání rychlé záchranné službě v případě zranění či jiného akutního stavu dítěte.
- Existují souhlasy na evidování kontaktů žáků a zákonných zástupců pro informování o mimoškolních akcích apod.
- Existují souhlasy na orientační testování přítomnosti návykových látek v organismu, existuje-li důvodné podezření z požití návykové látky a možného ohrožení jeho zdraví, předání rychlé záchranné službě v případě nutnosti.
- Existuje přesná evidence o předávání osobních údajů třetím stranám - jiný SW, přístupové systémy, jídelny…
Údaje zaměstnanců
- Je provedena revize údajů, které o zaměstnancích evidujete.
- Je definován a nasazen mechanismus získávání souhlasů od zaměstnanců.
- Existují potřebné souhlasy na všechny osobní údaje zaměstnanců, kterých se získání souhlasu týká.
Písemnosti
- Je přesně definováno uložení písemností včetně směrnice určující práci s nimi.
- Jsou používána bezpečná uložení písemností s osobními daty (zamčené skříňky, místnosti) a je definovaný přístup k nim.
- Jsou nastavena pravidla pro tisk písemností obsahující osobní údaje, včetně pravidel skartace zkušebních výtisků, evidence účelů tisků apod.