Darmowy fragment publikacji:
Dariusz Skrzyński
Przewodnik
po ochronie danych osobowych
Vademecum dyrektora i nauczyciela
placówki oświatowej
Dariusz Skrzyński
Prawnik, specjalista z zakresu prawa oświatowego, prawa
pracy i prawa autorskiego, project manager projektów
oświatowych realizowanych z funduszy UE, absolwent
Podyplomowego Studium Prawa Własności Intelektualnej
na Uniwersytecie Warszawskim oraz Podyplomowego
Studium Administrowania Funduszami Unijnymi w Szkole
Głównej Handlowej; prowadzi szkolenia i konferencje dla
kierowniczej kadry oświaty, rad pedagogicznych, nauczycieli
oraz wychowawców; autor i współautor wielu artykułów,
książek i publikacji elektronicznych skierowany do szkół
i przedszkoli; współpracownik Wydawnictwa Pedagogicznego
Operon w zakresie projektu www.oswiataiprawo.pl,
Wydawnictwa Verlag Dashofer w zakresie www.eduinfo.pl;
właściciel serwisu www.eduprawnik.pl; aktualnie prowadzi
Kancelarię EDUPRAWNIK specjalizująca się obsługą
palcówek oświatowych oraz wydawców.
i
P
r
z
e
w
o
d
n
k
p
o
o
c
h
r
o
n
e
d
a
n
y
c
h
o
s
o
b
o
w
y
c
h
i
.
V
a
d
e
m
e
c
u
m
d
y
r
e
k
t
o
r
a
i
l
n
a
u
c
z
y
c
i
e
a
p
a
c
ó
w
k
l
i
i
o
ś
w
a
t
o
w
e
j
.
U
O
R
1
8
Cena: 99 zł brutto
Przewodnik
po ochronie
danych osobowych
Vademecum dyrektora i nauczyciela
placówki oświatowej
Dariusz Skrzyński
Autor:
Dariusz Skrzyński
Redaktor prowadzący: Wioleta Szczygielska
Wydawca: Weronika Wota
Korekta: Zespół
Projekt okładki: Magdalena Huta
Skład i łamanie: IGAWA Ireneusz Gawliński
Druk: Miller Druk sp. z o.o.
Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.
Warszawa 2015
Wydawnictwo Wiedza i Praktyka sp. z o.o.
ul. Łotewska 9a, 03-918 Warszawa
tel.: 22 518 29 29, faks: 22 617 60 10
Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i ich tytułach.
Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa
do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach,
podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpo-
wszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów
w granicach dozwolonego użytku, z powołaniem się na źródło.
Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyj-
ny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją.
Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne
merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wy-
dawca ani Redakcja nie świadczy żadnych usług prawnych.
Nie mogą być one również traktowane jako ofi cjalne stanowisko organów i urzędów państwowych. Zasto-
sowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsulta-
cji lub opinii prawnej.
Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzial-
ności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informa-
cji zawartych w tych materiałach.
Spis treści
1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące
od 1 stycznia 2015 r. .............................................................................................
2. Regulacje prawne dotyczące ochrony danych osobowych ..................................
3. Dane osobowe ......................................................................................................
3.1. Dane osobowe zwykłe ...................................................................................
3.2. Dane osobowe wrażliwe ................................................................................
4. Przetwarzanie danych osobowych ......................................................................
4.1. Defi nicja przetwarzania danych osobowych ..............................................
4.2. Dopuszczalność przetwarzania ..................................................................
4.3. Przesłanki legalności przetwarzania danych .............................................
4.4. Katalog danych osobowych przetwarzanych przez placówki oświatowe ..
4.5. Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie ..
4.6. Dane osobowe pracowników szkoły i przedszkola ...................................
4.7. Dane osobowe rodziców i uczniów przetwarzane na podstawie ustawy
o systemie oświaty i jej aktów wykonawczych ............................................
4.8. Powierzenie przetwarzania danych osobowych .........................................
5. Dokumentacja związana z przetwarzaniem danych osobowych ........................
CZĘŚĆ I – OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH .......................
5.1. Rodzaj dokumentacji związanej z przetwarzaniem danych osobowych
w szkole .......................................................................................................
5.2. Polityka bezpieczeństwa .............................................................................
5.3. Instrukcja zarządzania systemem informatycznym ..................................
5.4. Upoważnienia dla pracowników ................................................................
5.5. Ewidencja upoważnień ...............................................................................
5.6. Umowy powierzenia przetwarzania danych osobowych ...........................
6. Zbiór danych osobowych .....................................................................................
6.1. Defi nicja zbioru danych osobowych ...........................................................
6.2. Wykaz zbiorów danych osobowych w placówkach oświatowych ..............
7. Rejestracja zbiorów danych osobowych w GIODO ............................................
7.1. Obowiązek rejestrowania zbiorów danych osobowych .............................
7.2. Zwolnienie z obowiązku rejestracji zbioru danych pracowników
szkoły/przedszkola .....................................................................................
9
11
15
17
17
19
19
19
20
20
22
23
25
27
30
31
31
32
35
37
38
38
39
39
40
40
40
41
3
Spis treści
w zakresie drobnych bieżących spraw życia codziennego ..........................
powołany i zgłoszony ABI ..........................................................................
dostępnych ..................................................................................................
w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości fi nansowej ....................................................................
7.3. Zwolnienie z obowiązku rejestracji zbioru danych
uczniów/wychowanków .............................................................................
7.4. Zwolnienie z obowiązku rejestracji zbioru danych rodziców uczniów .....
7.5. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych
7.6. Zwolnienie z obowiązku rejestracji zbioru danych powszechnie
7.7. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych
7.8. Zwolnienie z obowiązku rejestracji zbioru danych, jeżeli został
7.9. Zwolnienie z obowiązku rejestracji zbioru danych prowadzonych
bez wykorzystania systemów informatycznych .........................................
7.10. Procedura rejestrowania zbiorów danych osobowych w GIODO .............
7.11. Elementy zgłoszenia zbioru danych do rejestracji GIODO .......................
8. Administrator danych osobowych (ADO) ..........................................................
8.1. Dyrektor jako administrator danych osobowych ......................................
8.2. Administrator danych osobowych a jednostki obsługi
ekonomiczno-administracyjnej .................................................................
8.3. Administrator danych osobowych a umowa na przetwarzanie danych ....
8.4. Obowiązki administratora danych osobowych ..........................................
8.5. Obowiązki informacyjne ............................................................................
9. Administrator bezpieczeństwa informacji (ABI) ...............................................
9.1 Możliwość powołania ABI ..........................................................................
9.2. Rejestrowanie ABI ......................................................................................
9.3. Kwalifi kacje ABI ..........................................................................................
9.4. Zadania ABI ................................................................................................
9.5. Sprawdzanie przestrzegania przepisów ......................................................
9.6. Nadzorowanie dokumentacji .....................................................................
9.7. Szkolenia dla pracowników ........................................................................
9.8. Prowadzenie rejestru zbioru danych przez ABI ........................................
9.9. Zasady prowadzenia rejestru zbioru danych .............................................
10. Środki zapewniające ochronę przetwarzanych danych osobowych ...................
11. Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych ......
osobowych ...................................................................................................
11.1. Rodzaje odpowiedzialności związanej z przetwarzaniem danych
11.2. Odpowiedzialność karna za naruszenie ustawy o ochronie
danych osobowych ......................................................................................
11.3. Bezprawne przetwarzanie danych osobowych w zbiorze ..........................
11.4. Udostępnienie lub umożliwienie dostępu do danych osobowych
osobom nieupoważnionym ........................................................................
11.5. Naruszenie obowiązku zabezpieczenia danych .........................................
11.6. Naruszenie obowiązku rejestracji zbiorów danych w GIODO ..................
42
43
43
44
44
45
45
46
47
49
49
49
50
50
51
52
52
53
54
54
55
56
56
56
57
59
60
60
61
62
63
64
66
4
Spis treści
danymi osobowymi ....................................................................................
11.7. Niedopełnienie obowiązku informacyjnego przez administrującego
11.8. Udaremnianie lub utrudnianie inspektorowi wykonywania czynności
kontrolnej ...................................................................................................
12. Zasady kontroli przetwarzania danych osobowych przez GIODO ....................
12.1. Kontrola GIODO ........................................................................................
12.2. Zadania GIODO ..........................................................................................
12.3. Uprawnienia kontrolne GIODO ................................................................
12.4. Uprawnienia inspektora .............................................................................
12.5. Obowiązki inspektora ................................................................................
12.6. Obowiązki kontrolowanego ........................................................................
12.7. Legitymacja i upoważnienie .......................................................................
12.8. Termin i czas kontroli .................................................................................
12.9. Miejsce kontroli ..........................................................................................
12.10. Dokumentowanie czynności kontrolnych ................................................
12.11. Uprawnienia pokontrolne .........................................................................
13. Wyniki kontroli GIODO w szkołach i placówkach ............................................
13.1. Udostępnianie danych osobowych nauczycieli i rodziców ........................
13.2. Udostępnianie danych osobowych uczniów ...............................................
13.3. Zakres danych przetwarzanych przez szkoły i placówki ............................
CZĘŚĆ II – SZCZEGÓLNE PRZYPADKI OCHRONY DANYCH OSOBOWYCH ......
14. Ochrona danych osobowych a system informacji oświatowej ............................
15. Ochrona danych osobowych a e-dziennik ...........................................................
16. Ochrona danych osobowych a dostęp do informacji publicznej ........................
17. Ochrona danych osobowych a ochrona informacji niejawnych .........................
18. Ochrona danych osobowych a jawność wynagrodzeń pracowników .................
18.1. Podstawa prawna ochrony informacji o wynagrodzeniu pracownika ......
18.2. Informacja o wynagrodzeniu jako dana osobowa ......................................
18.3. Niejawność informacji o wynagrodzeniu ..................................................
18.4. Ujawnianie informacji o wynagrodzeniu osób pełniących funkcje
publiczne ....................................................................................................
18.5. Udostępnianie informacji o wynagrodzeniu w orzecznictwie ...................
18.6. Informacja o wynagrodzeniu osób niepełniących funkcji publicznych ....
19. Ochrona danych osobowych a strona internetowa placówki oświatowej ...........
19.1. Udostępnianie danych osobowych w Internecie ........................................
19.2. Publikowanie danych osobowych za zgodą ................................................
19.3. Publikowanie danych osobowych bez zgody .............................................
19.4. Publikowanie zdjęć (rozpowszechnianie wizerunku) ................................
20. Kontakty z mediami a ochrona danych osobowych ............................................
21. Monitoring wizyjny a ochrona danych osobowych .............................................
21.1. Miejsca objęte monitoringiem ....................................................................
21.2. Przechowywanie i udostępnianie nagrań z monitoringu szkolnego .........
21.3. Monitorowanie pracowników .....................................................................
66
67
68
68
68
70
71
72
72
72
73
73
73
73
76
76
76
77
79
81
83
84
87
87
87
87
88
88
89
89
90
90
91
92
93
95
96
96
96
97
5
Spis treści
22. Wyłudzanie danych osobowych uczniów i rodziców ..........................................
22.1. Działalność fi rm komercyjnych w szkole ...................................................
22.2. Zgoda rodziców na gromadzenie danych osobowych uczniów .................
i nazwiskiem ........................................................................................................
98
98
98
99
osobę inną niż rodzice ......................................................................................... 100
kredytobiorców .................................................................................................... 100
23. Ochrona danych osobowych a noszenie identyfi katora z imieniem
24. Ochrona danych osobowych a procedura weryfi kowania danych osobowych
25. Ochrona danych osobowych a upoważnienia do odbioru dzieci przez
26. Ochrona danych osobowych a udzielanie informacji o dziecku innym
osobom niż rodzic ............................................................................................... 100
27. Ochrona danych osobowych a uchwały rady pedagogicznej .............................. 101
28. Ochrona danych osobowych a działalność pielęgniarki szkolnej ...................... 102
29. Ochrona danych osobowych byłego pracownika ............................................... 103
30. Ochrona danych osobowych a wgląd do dokumentacji szkolnej ........................ 104
31. Ochrona danych osobowych a profi l szkoły na Facebooku ................................ 105
32. Ochrona danych osobowych a fi lmowanie lekcji ................................................ 106
33. Ochrona danych osobowych a nagrywanie rozmów ........................................... 107
34. Ochrona danych osobowych a udostępnienie arkusza organizacyjnego
szkoły związkom zawodowym ............................................................................. 108
35. Ochrona danych osobowych a zakładowy fundusz świadczeń socjalnych ........ 109
36. Ochrona danych osobowych a dane umieszczane w protokole
powypadkowym ................................................................................................... 110
37. Ochrona danych osobowych a ich udostępnianie księżom w parafi i ................. 111
38. Ochrona danych osobowych a wywiadówki szkolne ........................................... 112
39. Ochrona danych osobowych a dziennik lekcyjny ................................................ 113
40. Ochrona danych osobowych a przekazywanie danych e-mailem ....................... 114
41. Ochrona danych osobowych a dziennik nauczania indywidualnego ................. 115
42. Ochrona danych osobowych a dokumentacja poradni
psychologiczno-pedagogicznej ............................................................................ 115
43. Ochrona danych osobowych a ankiety szkolne ................................................... 116
44. Ochrona danych osobowych a NNW na wycieczkach ......................................... 117
45. Ochrona danych osobowych a zbiory danych praktykantów i wolontariuszy ... 119
46. Ochrona danych osobowych a skarga na szkołę .................................................. 119
CZĘŚĆ III – DOKUMENTACJA ...................................................................................... 121
47. Zgoda na przetwarzanie danych osobowych (1) ................................................. 123
48. Zgoda na przetwarzanie danych osobowych (2) ................................................. 124
49. Zgoda na przetwarzanie danych osobowych (3) ................................................. 125
50. Cofnięcie zgody na przetwarzanie danych osobowych ...................................... 126
51. Umowa powierzenia przetwarzania danych osobowych ..................................... 127
52. Zarządzenie dyrektora w sprawie dokumentacji przetwarzania
danych osobowych ............................................................................................... 131
53. Oświadczenie zbiorcze pracowników w sprawie ochrony danych osobowych .. 132
6
Spis treści
do przetwarzania danych osobowych .................................................................. 146
54. Polityka bezpieczeństwa ...................................................................................... 133
55. Instrukcja zarządzania systemem informatycznym służącym
56. Indywidualny zakres obowiązków nałożonych na użytkownika systemu
informatycznego przetwarzającego dane osobowe ............................................. 157
57. Upoważnienie do przetwarzania danych osobowych (1) .................................... 158
58. Upoważnienie do przetwarzania danych osobowych (2) .................................... 159
58. Upoważnienie do przetwarzania danych osobowych (3) .................................... 160
59. Procedura nadawania i zmiany uprawnień do przetwarzania danych
osobowych ............................................................................................................ 161
60. Ewidencja osób upoważnionych do przetwarzania danych osobowych ............ 162
61. Zgłoszenie zbioru danych do rejestracji GIODO ................................................ 163
62. Informacja o przetwarzaniu danych osobowych dla rodziców i opiekunów
dzieci/pracowników/stażystów/praktykantów .................................................... 169
63. Akt powołania administratora bezpieczeństwa informacji ................................ 170
64. Zgłoszenie powołania administratora bezpieczeństwa informacji
65. Zgłoszenie odwołania administratora bezpieczeństwa informacji
66. Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych
osobowych ............................................................................................................ 176
67. Procedury wykonywania przeglądów i konserwacji systemu informatycznego ..... 179
68. Formy naruszenia ochrony danych osobowych .................................................. 180
69. Podstawowa lista kontrolna przestrzegania ochrony danych osobowych ......... 183
70. Raport z naruszenia zabezpieczenia danych osobowych w systemie
informatycznym służącym do przetwarzania danych osobowych ..................... 184
71. Zgoda na wykorzystanie wizerunku dziecka ...................................................... 186
72. Zgoda na wykorzystanie wizerunku nauczyciela/pracownika ........................... 186
73. Wniosek do dyrektora o zgodę na przetwarzanie danych osobowych
74. Zgoda na przetwarzanie danych osobowych uczestników wycieczki szkolnej
do rejestracji GIODO .......................................................................................... 174
do rejestracji GIODO ........................................................................................... 171
uczestników wycieczki poza teren szkoły ............................................................ 187
poza teren szkoły .................................................................................................. 187
(tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) ..................................................... 191
CZĘŚĆ IV – AKTY PRAWNE ......................................................................................... 189
75. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
76. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
77. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) ...................................... 214
w sprawie wzorów zgłoszeń powołania i odwołania Administratora
Bezpieczeństwa Informacji (Dz.U. z 2014 r. poz. 1934) ..................................... 220
7
78. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r.
w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania
przepisów o ochronie danych osobowych przez administratora bezpieczeństwa
informacji (Dz.U. z 2015 r. poz. 745) .................................................................. 221
79. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r.
w sprawie sposobu prowadzenia przez administratora bezpieczeństwa
informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719) .......................... 225
80. Art. 81 ustawy o prawie autorskim i prawach pokrewnych ................................ 227
CZĘŚĆ I
– OGÓLNE ZASADY OCHRONY
DANYCH OSOBOWYCH
1. Wprowadzenie. Zmiany w ochronie danych osobowych
obowiązujące od 1 stycznia 2015 r.
Funkcje opiekuńczo-wychowawczo-dydaktyczne to niejedyne zadania jednostek
oświatowych. Działalność każdego przedszkola, szkoły i placówki podlega także przepi-
som ustawy z 9 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r.
poz. 1182 ze zm.) – dalej: uodo. W rozumieniu art. 7 pkt 4 uodo są one administratora-
mi danych osobowych, zaś za prawidłowe stosowanie i przestrzeganie obowiązujących
regulacji odpowiada dyrektor decydujący o celach i środkach przetwarzania danych oso-
bowych. W ramach tych obowiązków dyrektor jest przede wszystkim zobowiązany do
dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.
Musi zapewnić też opracowanie dokumentów polityki bezpieczeństwa oraz instrukcji za-
rządzania systemem informatycznym oraz ich przestrzeganie, a także zgłosić do Gene-
ralnego Inspektora Ochrony Danych Osobowych niektóre zbiory danych przetwarzane
w jego jednostce. Dyrektor i pracownicy powinni też wiedzieć, które dane osobowe pla-
cówka może gromadzić wprost na podstawie przepisów ustawy, a które może pozyskiwać
i przetwarzać tylko za zgodą.
Vademecum omawia zakres danych osobowych, które jednostka może pozyskiwać,
oraz zasady ich ochrony w kontekście najnowszych zmian. Od 1 stycznia 2015 r. obo-
wiązują znowelizowane przepisy ustawy o ochronie danych osobowych, wprowadzone
ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U.
z 2014 r. poz. 1662).
Zmiany dotyczą:
statusu administratora bezpieczeństwa informacji (ABI), jego pozycji, kompeten-
cji i obszarów działania,
obowiązków administratora danych osobowych (ADO), polegających na zgłasza-
niu do rejestracji zbiorów danych oraz wyznaczonego ABI,
kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
11
Przewodnik po ochronie danych osobowych
Tabela 1. Wykaz zmian w ustawie o ochronie danych osobowych wprowadzonych
od 1 stycznia 2015 r.
Skreślony został art. 36 ust. 3 uodo, a w jego miejsce pojawiły się art. od 36a
do 36c, które w sposób kompleksowy normują pozycję i kompetencje ad-
ministratora bezpieczeństwa informacji. ABI może powołać administrator
danych (art. 36a ust. 1 uodo). Ma on prawo powołać również zastępców ABI.
Wyznaczenie ABI nie jest obowiązkowe – jeśli w szkole takiej osoby nie będzie,
zadania określone w art. 36a ust. 2 pkt 1 uodo, czyli związane z zapewnieniem
przestrzegania przepisów o ochronie danych osobowych, z wyłączeniem
obowiązku sporządzania sprawozdania, wykonywać ma administrator danych
(art. 36b uodo). Dyrektor powinien zdecydować, czy powołać ABI, czy też
samodzielnie zapewniać przestrzeganie zasad ochrony danych osobowych.
W dotychczasowych przepisach nie było postanowień określających status
administratora bezpieczeństwa informacji. Po nowelizacji określa je art. 36a
uodo. Ma to być osoba m.in. posiadająca wiedzę w zakresie ochrony danych
osobowych, czyli odpowiednio przygotowana i dająca rękojmię należytego
wykonywania funkcji. Dotychczas funkcję ABI często powierzano osobie,
która pełniła już inne obowiązki, np. zastępcy dyrektora szkoły, sekretarce czy
nauczycielowi informatyki. Zapewnienie środków i organizacyjnej odrębności
ABI, niezbędnych do niezależnego wykonywania przez niego zadań, jest obo-
wiązkiem administratora danych.
Zgodnie z art. 36a ust. 2 pkt 1 uodo do zadań administratora bezpieczeństwa
informacji należy zapewnianie przestrzegania przepisów o ochronie danych
osobowych, w szczególności przez:
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ich
ochronie oraz opracowanie w tym zakresie sprawozdania dla administratora
danych,
nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa
w art. 36 ust. 2 uodo, oraz przestrzegania zasad w niej określonych,
zapoznanie osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych.
Nowym obowiązkiem administratora bezpieczeństwa informacji jest prowa-
dzenie rejestru zbiorów danych przetwarzanych przez administratora danych,
z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 uodo, czyli zwolnionych
z obowiązku zgłoszenia do rejestracji. Rejestr zbiorów prowadzonych przez
ABI ma zawierać: nazwy zbiorów oraz informacje, o których mowa w art. 41
ust. 1 pkt 2–4a i 7 uodo, a więc zwykle charakteryzujące zbiór przy rejestracji,
zawarte w zgłoszeniu zbioru do rejestracji. Rejestr ten jest jawny i każdy ma
prawo go przeglądać. Tryb i sposób realizacji zadań ABI oraz sposób prowa-
dzenia przez niego rejestru zbiorów danych regulowany jest rozporządzeniem.
Podstawową nowością w zakresie rejestracji zbiorów jest niezgłaszanie GIODO
tych zbiorów administratora danych, które zarejestrowane są lokalnie przez
ABI. Ponieważ jednak z art. 43 ust. 1a uodo wynika, że obowiązkowi rejestracji
zbiorów danych osobowych nie podlega administrator danych, który powołał
ABI i zgłosił go GIODO do rejestracji (z zastrzeżeniem art. 46e ust. 2 uodo),
niezgłaszanie zbiorów jest ograniczone, bo:
zwolnienie z rejestracji GIODO dotyczy tylko przypadków prowadzenia
rejestru przez zarejestrowanego ABI,
jeśli w zbiorach przetwarzane są dane wrażliwe, to zarejestrowanie u ABI nie
wystarczy, bo i tak trzeba wypełnić obowiązek zgłoszenia GIODO,
Powołanie ABI
w szkole
Kwalifi kacje ABI
Zadania ABI
Nowości przy
rejestracji zbiorów
danych
12
Nowości przy
rejestracji zbiorów
danych
Rejestr ABI
Rozszerzenie kom-
petencji General-
nego Inspektora
Ochrony Danych
Osobowych
(GIODO)
Część I – Ogólne zasady ochrony danych osobowych
w przypadku ABI ponownie zgłoszonego (po uprzednim wykreśleniu) do
rejestru administratorów bezpieczeństwa informacji zwolnienie z obowiązku
rejestracji stosuje się dopiero po wpisaniu zgłoszonego ABI do tego rejestru.
Powołanie w szkole ABI wiąże się z koniecznością zgłoszenia tej osoby do re-
jestracji. Zgodnie z przepisami ustawy o ochronie danych osobowych GIODO
ma prowadzić ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa
informacji, do którego dyrektorzy szkół będą zgłaszać wyznaczonych przez
siebie ABI. Wzory zgłoszeń powołania i odwołania zostały określone w rozpo-
rządzeniu.
Na podstawie art. 46b uodo administrator danych jest obowiązany zgłosić do
rejestracji GIODO powołanie lub odwołanie administratora bezpieczeństwa
informacji w terminie 30 dni. Ustawa określa również zakres zgłaszanych infor-
macji. Zgłoszenie powołania ABI do rejestracji powinno zawierać:
oznaczenie administratora danych i adres jego siedziby lub miejsca za-
mieszkania, w tym numer identyfi kacyjny rejestru podmiotów gospodarki
narodowej, jeżeli został mu nadany;
dane administratora bezpieczeństwa informacji:
– imię i nazwisko,
– numer PESEL lub gdy ten numer nie został nadany, nazwę i numer doku-
mentu stwierdzającego tożsamość,
– adres do korespondencji, jeżeli jest inny niż adres, o którym mowa
w pkt 1;
– datę powołania;
oświadczenie administratora danych o spełnianiu przez administratora bez-
pieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7.
Zgłoszenie odwołania natomiast powinno ponadto zawierać datę i przyczynę
odwołania. Administrator danych jest także zobowiązany w terminie 14 dni
zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa
w art. 46b ust. 2 uodo. Do zgłaszania zmian stosuje się odpowiednio przepisy
o zgłoszeniu powołania ABI.
Na żądanie ABI lub administratora danych GIODO wydaje zaświadczenie
o zarejestrowaniu administratora bezpieczeństwa informacji. Do celów doku-
mentacyjnych i dowodowych rekomenduje wystąpienie do GIODO o wydanie
tego zaświadczenia. Znowelizowana ustawa o ochronie danych osobowych
określa także zasady wykreślania ABI z rejestru. Warto przy tym pamiętać,
że po wykreśleniu konieczne będzie zgłoszenie do rejestracji GIODO tych
zbiorów, które dotychczas korzystały ze zwolnienia wynikającego z funkcjono-
wania w szkole administratora bezpieczeństwa informacji.
Administrator bezpieczeństwa informacji co najmniej raz w roku powinien
przeprowadzić sprawdzenie zgodności przetwarzania danych osobowych
w jednostce z przepisami. Z tego narzędzia korzystać ma przede wszystkim ad-
ministrator danych – ma mu ono służyć do uzyskania wiedzy o stanie ochrony
danych osobowych w placówce. Z instytucji tej jednak skorzysta też GIODO,
dla którego sprawdzenie prowadzone przez ABI może być wsparciem w dzia-
łalności kontrolnej. Poprzez ten instrument GIODO zyskuje bowiem kontakt
z podmiotem (ABI), który z uwagi na swą niezależność i profesjonalizm
zapewnia wysoki poziom współpracy. W art. 36c uodo określono elementy
sprawozdania opracowanego w wyniku sprawdzenia.
Zgodnie z dodanym do ustawy o ochronie danych osobowych art. 19b GIODO
może zwrócić się do ABI o sprawdzenie u administratora danych, który go
13
Przewodnik po ochronie danych osobowych
Rozszerzenie kom-
petencji General-
nego Inspektora
Ochrony Danych
Osobowych
(GIODO)
powołał, zgodności przetwarzania danych osobowych z przepisami, wskazując
jego zakres i termin. Po dokonaniu tego sprawdzenia ABI – za pośrednic-
twem administratora danych, czyli w szkole/przedszkolu za pośrednictwem
jej dyrektora – przedstawia GIODO sprawozdanie, takie jakie zwykle sporzą-
dzać ma dla administratora danych. Sprawdzenie to ma mieć m.in. charakter
prewencyjny i w efekcie ma oddalać ewentualną kontrolę w danej placówce
przez GIODO. Ustawa przewiduje jednak, że przeprowadzenie sprawdzenia
przez ABI na żądanie GIODO nie wyklucza prawa Generalnego Inspektora do
przeprowadzenia kontroli.
Nowe uregulowania będą miały wpływ na kształt systemu ochrony danych osobowych
u każdego administratora danych, dotyczą więc również placówek oświatowych zobo-
wiązanych do stosowania przepisów ustawy o ochronie danych osobowych. Nowelizacja
może oznaczać konieczność zmian w dotychczasowej dokumentacji.
Bez względu na to, czy dyrektor zdecyduje się powołać ABI, czy też nie, zasadna jest
analiza prowadzonej dokumentacji techniczno-organizacyjnej, czyli Polityki bezpieczeń-
stwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarza-
nia danych osobowych. Należy albo wprowadzić do nich postanowienia o powołaniu
administratora bezpieczeństwa informacji i jego kompetencjach, albo zaznaczyć, że ad-
ministrator danych nie powołuje ABI i samodzielnie zapewnia przestrzeganie przepisów
o ochronie danych osobowych.
Jeśli dyrektor szkoły zdecyduje się powołać ABI, powinien ten fakt udokumentować.
Wyznaczenie administratora bezpieczeństwa informacji może nastąpić zarówno w dro-
dze zarządzenia, jak i poprzez omówione już wprowadzenie w Polityce bezpieczeństwa
odpowiednich postanowień, z których wynikać będzie, że osoba zajmująca dane stano-
wisko pełni tę funkcję. W związku z działalnością ABI w szkole pojawią się sprawozda-
nia dokumentujące sprawdzanie przez niego zgodności przetwarzania danych osobowych
z przepisami o ochronie danych osobowych. Ponadto nowymi dokumentami będą kopie
zgłoszeń powołania bądź odwołania ABI czy kopie zaświadczeń o zarejestrowaniu, wyni-
kające z obowiązku zarejestrowania administratora bezpieczeństwa informacji u GIODO.
Przetwarzanie danych osobowych w placówce oświatowej, niezależnie czy jest to pla-
cówka publiczna, czy niepubliczna, jest jednym z podstawowych procesów w niej zacho-
dzących. Zebrane informacje, zarówno te dotyczące uczniów, wychowanków, jak i ich
rodziców, stanowią fundament jej funkcjonowania. Ponadto stale rosnąca wśród społe-
czeństwa świadomość ochrony danych osobowych jest sygnałem dla podmiotów prze-
twarzających dane do szczególnego zwrócenia uwagi na tę kwestię. Dlatego też tak ważne
jest to, aby proces ten był legalny, dostęp do danych mieli jedynie upoważnieni pracow-
nicy, a wszystkie zebrane dane zostały należycie zabezpieczone.
Obecnie obowiązujące przepisy zapewniają, w większości przypadków, skuteczną
ochronę danych. Oczywiście zdarza się, że dyrektorzy czy nauczyciele nie znajdują od-
powiedzi na nurtujące ich pytania w obowiązujących przepisach prawa. Dlatego ma-
teriał ten ma za zadanie usystematyzować kwestie związane z przetwarzaniem danych
osobowych dzieci, wychowanków, ich rodziców, nauczycieli i pracowników niepedago-
14
Część I – Ogólne zasady ochrony danych osobowych
gicznych. Przejrzysta formuła ułatwi zaś zobrazowanie przepisów prawa obowiązujących
w tym zakresie.
Publikacja pozwoli:
zaktualizować wiedzę dotyczącą danych osobowych i obowiązków spoczywających
na dyrektorze w tym zakresie,
dotychczasowych dokumentów,
poznać zakres zmian obowiązujących od 1 stycznia 2015 r. i sposób dostosowania
ustalić, czy każda placówka będzie musiała powołać administratora bezpieczeń-
stwa informacji (ABI), a jeżeli tak, to jakie wymagania musi spełniać osoba spra-
wująca tę funkcję,
poznać najczęściej popełnianie błędy, żeby wyeliminować je w swojej placówce.
2. Regulacje prawne dotyczące ochrony danych osobowych
Zasada ochrony danych osobowych znajduje swoje źródło w ustawie zasadniczej
– w Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (Dz.U. z 1997 r. nr 78,
poz. 483 ze zm.). W art. 47 i art. 51 gwarantuje ona każdemu prawo do ochrony życia
prywatnego i zakłada, że zasady gromadzenia oraz udostępniania informacji o osobie
określać ma akt prawny rangi ustawy.
Założenie to zostało zrealizowane poprzez wydanie ustawy z 29 sierpnia 1997 r.
o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.). Ustawa
określa m.in., w jakich sytuacjach i jakie dane osobowe mogą podlegać przetwarzaniu,
precyzuje wymogi stawiane administratorom danych, a także określa prawne konsekwen-
cje naruszenia postanowień w niej zawartych.
Zobacz treść ustawy na płycie CD
Zakres podmiotów podlegających regulacjom ustawy o ochronie danych osobowych
uodo został wskazany w art. 3 uodo. Ustawę stosuje się do organów państwowych, or-
ganów samorządu terytorialnego oraz do państwowych i komunalnych jednostek orga-
nizacyjnych.
Znajduje ona także zastosowanie do podmiotów niepublicznych realizujących zada-
nia publiczne, osób fi zycznych i osób prawnych oraz jednostek organizacyjnych niebę-
dących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością
zarobkową, zawodową lub dla realizacji celów statutowych.
Oznacza to, że przepisy uodo będą stosowane także w działalności szkół oraz jedno-
stek, które przetwarzają dane osobowe w ramach działalności na polu oświaty (np. orga-
nów prowadzących).
Treść ustawy o ochronie danych osobowych została rozszerzona przez ustawodawcę
o rozporządzenia wykonawcze. Na uwagę zasługuje kilka z nich:
rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków tech-
15
Przewodnik po ochronie danych osobowych
nicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy in-
formatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100,
poz. 1024) – defi niuje „obszar przetwarzania” i potrzebę oznaczania pomieszczeń,
w których przetwarzane są dane osobowe, oraz określa trzy poziomy bezpieczeń-
stwa przetwarzania danych osobowych w systemach informatycznych, zapewnia-
jące zachowanie poufności, integralności i rozliczalności danych;
rozporządzenie ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r.
w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspekto-
rowi Ochrony Danych Osobowych (Dz.U. z 2008 r. nr 229, poz. 1536);
rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie
wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informa-
cji (Dz.U. z 2014 r. poz. 1934);
rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie
trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów
o ochronie danych osobowych przez administratora bezpieczeństwa informacji
(Dz.U. z 2015 r. poz. 745) – określa tryb i sposób sprawdzania zgodności przetwa-
rzania danych osobowych z przepisami o ochronie danych osobowych oraz opra-
cowania sprawozdania w tym zakresie; nadzorowania opracowania, aktualizowania
przestrzegania dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych da-
nych osobowych;
rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie spo-
sobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbio-
rów danych (Dz.U. z 2015 r. poz. 719).
Trzy ostanie rozporządzenia związane są z nowelizacją ustawy obowiązującą
od 1 stycznia 2015 r.
Zobacz treść rozporządzeń na płycie CD
Kwestie dotyczące ochrony danych osobowych normowane są także w innych ak-
tach prawnych. O ile ustawa o ochronie danych osobowych w sposób ogólny normuje
ochronę danych osobowych – o tyle inne odnoszą się szczegółowo do kwestii tej ochro-
ny w wybranych konkretnych dziedzinach działalności (np. art. 81 ustawy o prawie au-
torskim i prawach pokrewnych odnosi się do ochrony wizerunku). Wskazać przy tym
trzeba, że placówki oświatowe objęte są zakresem działania ustawy o ochronie danych
osobowych nie tylko jako podmioty realizujące określone zadania publiczne w zakresie
oświaty, ale też jako pracodawcy.
Zobacz treść art. 81 ustawy na płycie CD
16
Część I – Ogólne zasady ochrony danych osobowych
3. Dane osobowe
Schemat 1. Rodzaje danych osobowych
DANE OSOBOWE
DANE OSOBOWE ZWYKŁE
DANE OSOBOWE WRAŻLIWE
3.1. Dane osobowe zwykłe
Danymi osobowymi są wszelkie informacje dotyczące zidentyfi kowanej lub możli-
wej do zidentyfi kowania osoby fi zycznej (osobą możliwą do zidentyfi kowania jest oso-
ba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez
powołanie się na numer identyfi kacyjny albo jeden lub kilka specyfi cznych czynników
określających jej cechy fi zyczne, fi zjologiczne, umysłowe, ekonomiczne, kulturowe lub
społeczne) – art. 6 uodo.
Danymi osobowymi są wszelkie informacje dotyczące osoby fi zycznej, tj. informacje
odnoszące się do wszystkich dziedzin jej życia (rodzinnego, zawodowego, aktywności
pozazawodowej, stanu majątkowego itd.). Przepisy nie precyzują formy tych informa-
cji, a zatem chodzi o dane wyrażone w jakiejkolwiek formie, tj. np. na piśmie, w nagra-
niu fi lmowym bądź dźwiękowym, na obrazie, w formie zapisu informatycznego. Forma,
w której informacje o osobie zostały zawarte, nie ma znaczenia dla zakwalifi kowania ich
jako danych osobowych. Podstawowy warunek uznania informacji za dane osobowe jest
taki, że ma ona zawierać w sobie wiedzę dotyczącą osoby fi zycznej:
już zidentyfi kowanej, czyli konkretnej osoby o oznaczonej tożsamości,
możliwej do zidentyfi kowania, czyli tej, której tożsamość można ustalić (bezpo-
średnio lub pośrednio) w zestawieniu z innymi informacjami, dodatkowymi oko-
licznościami (wiedzą).
Pojęcie danych osobowych dobrze zostało wyjaśnione przez Naczelny Sąd Admini-
stracyjny (wyrok NSA z 18 listopada 2009 r., OSK 667/09): „Dane osobowe to zespół wia-
domości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na
jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfi kacji
(imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bo mieszczą
się w nim również dalsze informacje, wzmacniające stopień identyfi kacji. Do informacji
takich z pewnością należą zdjęcia osoby fi zycznej, chociażby wykonane w przeszłości,
umożliwiające jej identyfi kację (…). O zakwalifi kowaniu danej informacji do kategorii
danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym
uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst), do ja-
kich dostęp mają osoby trzecie”.
17
Przewodnik po ochronie danych osobowych
uwaga
Jeżeli ustalenie tożsamości osoby na podstawie określonych informa-
cji wymagałoby nadmiernych kosztów, czasu lub działań, to nie uważa
się ich za dane osobowe.
Danymi osobowymi będą zatem zarówno te informacje, które pozwalają na okre-
ślenie tożsamości konkretnej osoby, jak i te, które nie umożliwiają jej natychmiastowej
identyfi kacji, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do
jej ustalenia. Danymi osobowymi będzie więc ta informacja, która pozwala na ustalenie
tożsamości konkretnej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy
wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Nie będzie nimi za-
tem ta informacja, na podstawie której identyfi kacja osoby wymaga nieracjonalnych, nie-
proporcjonalnie dużych nakładów kosztów, czasu lub działań.
Danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólno-
ści, np. nazwa ulicy, numer domu czy wysokość średniego wynagrodzenia w szkole. Nie
zaliczymy do nich też informacji, które dotyczą osób prawnych, tj. urzędów, z którymi
szkoła współpracuje, spółdzielni, od których placówka wynajmuje lokal, czy fi rm.
Informacja będzie jednak danymi osobowymi, gdy zostanie zestawiona z innymi
dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej oso-
by. Przykładem pojedynczej informacji, którą można uznać za dane osobowe, jest nu-
mer PESEL, a jego przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie
o ochronie danych osobowych. Są nimi również imię i nazwisko, adres zamieszkania,
data urodzenia, NIP, wykształcenie, zarobki oraz inne informacje dotyczące konkretnej
osoby, za pomocą których będzie można ją zidentyfi kować.
Nie ma zamkniętego katalogu danych osobowych. Dlatego też przy rozstrzyganiu,
czy określona informacja lub informacje to dane osobowe, w większości przypadków,
nieunikniona jest zindywidualizowana ocena uwzględniająca konkretne okoliczności
oraz rodzaj środków czy metod potrzebnych w określonej sytuacji do identyfi kacji osoby.
Dane osobowe odnoszą się wyłącznie do osób fi zycznych, a ich ochrona przysługuje
bez wyjątku każdemu, w tym również uczniom, dzieciom (wychowankom przedszkola).
Ramka 1. Wykaz danych osobowych
Za dane osobowe uczniów, wychowanków, rodziców, nauczycieli lub innych pracowników możemy
uznać m.in.:
imię i nazwisko,
wizerunek,
numer telefonu,
adres e-mail,
adres zamieszkania,
fi lmy i zdjęcia z monitoringu – jeśli możliwe jest przypisanie utrwalonych na taśmach (zdjęciach)
wizerunków do konkretnych osób (np. dzieci, pracowników danej szkoły).
18
Część I – Ogólne zasady ochrony danych osobowych
3.2. Dane osobowe wrażliwe
Pojęcie danych osobowych nie ma jednorodnego charakteru. Wyróżniono bowiem
dane o szczególnym charakterze, tzw. dane wrażliwe (delikatne, sensytywne), przeciw-
stawiane niekiedy tzw. danym zwykłym (pospolitym). W odniesieniu do danych wrażli-
wych wprowadzono bardziej intensywną ochronę, a ich przetwarzanie podlega odrębnym
zasadom (art. 27 uodo).
Ramka 2. Wykaz danych osobowych wrażliwych
Za dane wrażliwe ustawa uznaje dane dotyczące:
pochodzenia rasowego lub etnicznego,
poglądów politycznych,
przekonań religijnych lub fi lozofi cznych (odnosi się to także do postawy ateistycznej lub agnostycz-
nej, kategoria ta nie obejmuje natomiast zasad moralnych),
przynależności wyznaniowej, partyjnej lub związkowej (także fakt nieprzynależności do organizacji
i wystąpienia z niej),
stanu zdrowia,
kodu genetycznego,
nałogów (w tym poddania się leczeniu odwykowemu lub przerwania go, uczestniczenia w grupach
i organizacjach stawiających sobie za cel walkę z uzależnieniami),
życia seksualnego,
skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń wydanych w postępowaniu
sądowym lub administracyjnym.
4. Przetwarzanie danych osobowych
4.1. Defi nicja przetwarzania danych osobowych
Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykony-
wane na danych osobowych, takie jak:
zbieranie,
utrwalanie,
przechowywanie,
opracowywanie,
zmienianie,
udostępnianie i
usuwanie,
a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 uodo).
Przykład
Przetwarzaniem danych będzie zbieranie danych osobowych dzieci podczas procesu
rekrutacji do przedszkola/szkoły, zapisywanie ich w dziennikach lekcyjnych, wprowa-
dzanie do Systemu Informacji Oświatowej, umieszczanie informacji o laureatach kon-
kursów na szkolnej stronie internetowej itp.
19
Przewodnik po ochronie danych osobowych
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które posiadają
upoważnienie nadane przez administratora danych. Konieczna jest kontrola nad tym, ja-
kie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazy-
wane. Musi być też prowadzona ewidencja osób upoważnionych do przesyłania danych.
Istnieje wreszcie obowiązek zachowania w tajemnicy danych osobowych oraz sposobów
ich zabezpieczania.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upo-
ważnienie nadane przez administratora danych. Udzielone upoważnienia do przetwarza-
nia danych są odnotowane w ewidencji osób upoważnionych do ich przetwarzania, którą
dyrektor szkoły również musi prowadzić.
Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna za-
imię i nazwisko osoby upoważnionej,
datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobo-
wierać:
wych,
identyfi kator, jeżeli dane są przetwarzane w systemie informatycznym.
4.2. Dopuszczalność przetwarzania
Pod kątem podstawy przetwarzania należy rozpatrywać każdy konkretny zakres da-
nych. Podstawę przetwarzania należy rozpatrywać zawsze w związaniu z celem przetwa-
rzania.
Administrator danych musi umieć wykazać się podstawą prawną przetwarzania da-
nych (ciężar dowodu). Dane jednej osoby mogą być przetwarzane na różnych podsta-
wach prawnych.
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności
w celu ochrony interesów osób, których dane dotyczą (art. 26 uodo).
W szczególności jest obowiązany zapewnić, aby były spełnione następujące przesłan-
ki przetwarzania:
legalności – przetwarzane zgodnie z prawem (art. 23 lub 27 uodo),
celowości – przetwarzanie tylko w określonym, legalnym celu,
czasowości – przetwarzanie tylko do momentu osiągnięcia celu,
merytorycznej poprawności w stosunku do celów, w jakich są przetwarzane,
adekwatności – przetwarzania tylko takiego zakresu danych, który jest niezbędny
do osiągnięcia celu.
4.3. Przesłanki legalności przetwarzania danych
Każdego rodzaju operacje dokonywane na danych osobowych, jak na przykład ich
gromadzenie, przechowywanie, zmienianie czy nawet usuwanie, będące faktycznie ich
przetwarzaniem, należy uzasadnić spełnieniem jednego z warunków zawartych w art. 23
uodo.
20
Część I – Ogólne zasady ochrony danych osobowych
Istnieje pięć przesłanek przetwarzania danych osobowych:
zgoda danej osoby na wykorzystanie jej danych (w przypadku dzieci zgoda rodzi-
ców),
realizacja obowiązków wynikających z przepisów prawa,
realizacja umowy,
działanie dla dobra publicznego,
realizacja prawnie usprawiedliwionego celu administratora danych.
Wzór: Zgoda na przetwarzanie danych osobowych (różne wersje) – strony 123, 124, 125.
Wzór: Cofnięcie zgody na przetwarzanie danych osobowych – strona 126.
Przetwarzanie danych osobowych wrażliwych jest możliwe, jeżeli zostaną spełnio-
ne wszystkie przesłanki z art. 27 ust. 2 uodo: osoba, której dane dotyczą, wyrazi na
to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych.
Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgo-
dy osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony.
Przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów oso-
by, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest
fi zycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opieku-
na prawnego lub kuratora.
Jest to niezbędne do wykonania statutowych zadań Kościołów i innych związków
wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji
lub instytucji o celach politycznych, naukowych, religijnych, fi lozofi cznych lub
związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie człon-
ków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty
w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwa-
rzanych danych.
Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed
Przetwarzanie jest niezbędne do wykonania zadań administratora danych odno-
szących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych
danych jest określony w ustawie.
Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług
medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo lecze-
niem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług
medycznych i są stworzone pełne gwarancje ochrony danych osobowych.
Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej
przez osobę, której dane dotyczą.
Jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania
rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stop-
nia naukowego; publikowanie wyników badań naukowych nie może umożliwiać
identyfi kacji osób, których dane zostały przetworzone.
sądem.
21
Przewodnik po ochronie danych osobowych
Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obo-
wiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub ad-
ministracyjnym.
Wymienione w art. 23 ust. 1 uodo przesłanki dopuszczalności przetwarzania danych
osobowych są od siebie niezależne, co oznacza, że wystąpienie tylko jednej z nich prze-
sądza o dopuszczalności przetwarzania danych osobowych. Dopuszczalność przetwa-
rzania danych osobowych nie zawsze jest więc uzależniona od uzyskania na to zgody
osoby, której dane mogą być przetwarzane. Artykuł 23 ust. 1 uodo, poza zgodą osoby,
której dane dotyczą, wskazuje również inne okoliczności, które dopuszczają przetwarza-
nie danych osobowych.
Jeśli nie zachodzi żadna z przesłanek wymienionych w art. 23 ust. 1 pkt 2–5 uodo,
to przetwarzanie danych osobowych jest dopuszczalne po uzyskaniu na to zgody osoby,
której dane dotyczą.
4.4. Katalog danych osobowych przetwarzanych przez placówki
oświatowe
Schemat 2. Katalog danych osobowych przetwarzanych w placówce oświatowej
Pozyskiwanie danych osobowych osób ubiegają-
cych się o zatrudnienie
Dane osobowe przetwarzane w związku ze sto-
sunkiem pracy (nauczycieli i pracowników nie-
będących nauczycielami), w tym również dane
gromadzone w związku z korzystaniem z zakła-
dowego funduszu świadczeń socjalnych
Dane osobowe przetwarzane na podstawie usta-
wy o systemie oświaty oraz aktów wykonawczych
wydanych na jej podstawie
Dane osobowe umieszczane na stronach interne-
towych szkoły/przedszkola
Dane osobowe zawarte na fi lmach z kamer
umieszczonych w szkole/przedszkolu (monito-
ring)
Katalog danych
osobowych
przetwarzanych
w placówce
oświatowej
22
Pobierz darmowy fragment (pdf)