Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00552 010818 7467226 na godz. na dobę w sumie
Przewodnik po ochronie danych osobowych - Vademecum dyrektora i nauczyciela placówki oświatowej - ebook/pdf
Przewodnik po ochronie danych osobowych - Vademecum dyrektora i nauczyciela placówki oświatowej - ebook/pdf
Autor: Liczba stron: 228
Wydawca: Wiedza i Praktyka Język publikacji: polski
ISBN: 978-83-269-4078-1 Data wydania:
Lektor:
Kategoria: ebooki >> poradniki >> zdrowie
Porównaj ceny (książka, ebook, audiobook).

W „Przewodniku po ochronie danych osobowych” Czytelnicy znajdą kompleksowe omówienie wszystkich zagadnień związanych z ochroną danych osobowych w placówce oświatowej. Począwszy od wyjaśnienia kluczowych pojęć związanych z ochroną danych osobowych i obowiązków dyrektora i nauczyciela związanych z tym zagadnieniem, przez omówienie konkretnych problematycznych sytuacji związanych z ochroną danych osobowych, które mogą zdarzyć się w szkole. Dodatkowo w publikacji znajduje się wiele gotowych wzorów dokumentów gotowych do wykorzystania w codziennej pracy i aktualne akty prawne związane z ochroną danych osobowych.

Znajdź podobne książki

Darmowy fragment publikacji:

Dariusz Skrzyński Przewodnik po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej Dariusz Skrzyński Prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego, project manager projektów oświatowych realizowanych z funduszy UE, absolwent Podyplomowego Studium Prawa Własności Intelektualnej na Uniwersytecie Warszawskim oraz Podyplomowego Studium Administrowania Funduszami Unijnymi w Szkole Głównej Handlowej; prowadzi szkolenia i konferencje dla kierowniczej kadry oświaty, rad pedagogicznych, nauczycieli oraz wychowawców; autor i współautor wielu artykułów, książek i publikacji elektronicznych skierowany do szkół i przedszkoli; współpracownik Wydawnictwa Pedagogicznego Operon w zakresie projektu www.oswiataiprawo.pl, Wydawnictwa Verlag Dashofer w zakresie www.eduinfo.pl; właściciel serwisu www.eduprawnik.pl; aktualnie prowadzi Kancelarię EDUPRAWNIK specjalizująca się obsługą palcówek oświatowych oraz wydawców. i P r z e w o d n k p o o c h r o n e d a n y c h o s o b o w y c h i . V a d e m e c u m d y r e k t o r a i l n a u c z y c i e a p a c ó w k l i i o ś w a t o w e j . U O R 1 8 Cena: 99 zł brutto Przewodnik po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej Dariusz Skrzyński Autor: Dariusz Skrzyński Redaktor prowadzący: Wioleta Szczygielska Wydawca: Weronika Wota Korekta: Zespół Projekt okładki: Magdalena Huta Skład i łamanie: IGAWA Ireneusz Gawliński Druk: Miller Druk sp. z o.o. Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, 03-918 Warszawa tel.: 22 518 29 29, faks: 22 617 60 10 Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i ich tytułach. Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach, podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpo- wszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło. Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyj- ny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją. Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wy- dawca ani Redakcja nie świadczy żadnych usług prawnych. Nie mogą być one również traktowane jako ofi cjalne stanowisko organów i urzędów państwowych. Zasto- sowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsulta- cji lub opinii prawnej. Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzial- ności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informa- cji zawartych w tych materiałach. Spis treści 1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. ............................................................................................. 2. Regulacje prawne dotyczące ochrony danych osobowych .................................. 3. Dane osobowe ...................................................................................................... 3.1. Dane osobowe zwykłe ................................................................................... 3.2. Dane osobowe wrażliwe ................................................................................ 4. Przetwarzanie danych osobowych ...................................................................... 4.1. Defi nicja przetwarzania danych osobowych .............................................. 4.2. Dopuszczalność przetwarzania .................................................................. 4.3. Przesłanki legalności przetwarzania danych ............................................. 4.4. Katalog danych osobowych przetwarzanych przez placówki oświatowe .. 4.5. Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie .. 4.6. Dane osobowe pracowników szkoły i przedszkola ................................... 4.7. Dane osobowe rodziców i uczniów przetwarzane na podstawie ustawy o systemie oświaty i jej aktów wykonawczych ............................................ 4.8. Powierzenie przetwarzania danych osobowych ......................................... 5. Dokumentacja związana z przetwarzaniem danych osobowych ........................ CZĘŚĆ I – OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH ....................... 5.1. Rodzaj dokumentacji związanej z przetwarzaniem danych osobowych w szkole ....................................................................................................... 5.2. Polityka bezpieczeństwa ............................................................................. 5.3. Instrukcja zarządzania systemem informatycznym .................................. 5.4. Upoważnienia dla pracowników ................................................................ 5.5. Ewidencja upoważnień ............................................................................... 5.6. Umowy powierzenia przetwarzania danych osobowych ........................... 6. Zbiór danych osobowych ..................................................................................... 6.1. Defi nicja zbioru danych osobowych ........................................................... 6.2. Wykaz zbiorów danych osobowych w placówkach oświatowych .............. 7. Rejestracja zbiorów danych osobowych w GIODO ............................................ 7.1. Obowiązek rejestrowania zbiorów danych osobowych ............................. 7.2. Zwolnienie z obowiązku rejestracji zbioru danych pracowników szkoły/przedszkola ..................................................................................... 9 11 15 17 17 19 19 19 20 20 22 23 25 27 30 31 31 32 35 37 38 38 39 39 40 40 40 41 3 Spis treści w zakresie drobnych bieżących spraw życia codziennego .......................... powołany i zgłoszony ABI .......................................................................... dostępnych .................................................................................................. w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości fi nansowej .................................................................... 7.3. Zwolnienie z obowiązku rejestracji zbioru danych uczniów/wychowanków ............................................................................. 7.4. Zwolnienie z obowiązku rejestracji zbioru danych rodziców uczniów ..... 7.5. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych 7.6. Zwolnienie z obowiązku rejestracji zbioru danych powszechnie 7.7. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych 7.8. Zwolnienie z obowiązku rejestracji zbioru danych, jeżeli został 7.9. Zwolnienie z obowiązku rejestracji zbioru danych prowadzonych bez wykorzystania systemów informatycznych ......................................... 7.10. Procedura rejestrowania zbiorów danych osobowych w GIODO ............. 7.11. Elementy zgłoszenia zbioru danych do rejestracji GIODO ....................... 8. Administrator danych osobowych (ADO) .......................................................... 8.1. Dyrektor jako administrator danych osobowych ...................................... 8.2. Administrator danych osobowych a jednostki obsługi ekonomiczno-administracyjnej ................................................................. 8.3. Administrator danych osobowych a umowa na przetwarzanie danych .... 8.4. Obowiązki administratora danych osobowych .......................................... 8.5. Obowiązki informacyjne ............................................................................ 9. Administrator bezpieczeństwa informacji (ABI) ............................................... 9.1 Możliwość powołania ABI .......................................................................... 9.2. Rejestrowanie ABI ...................................................................................... 9.3. Kwalifi kacje ABI .......................................................................................... 9.4. Zadania ABI ................................................................................................ 9.5. Sprawdzanie przestrzegania przepisów ...................................................... 9.6. Nadzorowanie dokumentacji ..................................................................... 9.7. Szkolenia dla pracowników ........................................................................ 9.8. Prowadzenie rejestru zbioru danych przez ABI ........................................ 9.9. Zasady prowadzenia rejestru zbioru danych ............................................. 10. Środki zapewniające ochronę przetwarzanych danych osobowych ................... 11. Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych ...... osobowych ................................................................................................... 11.1. Rodzaje odpowiedzialności związanej z przetwarzaniem danych 11.2. Odpowiedzialność karna za naruszenie ustawy o ochronie danych osobowych ...................................................................................... 11.3. Bezprawne przetwarzanie danych osobowych w zbiorze .......................... 11.4. Udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym ........................................................................ 11.5. Naruszenie obowiązku zabezpieczenia danych ......................................... 11.6. Naruszenie obowiązku rejestracji zbiorów danych w GIODO .................. 42 43 43 44 44 45 45 46 47 49 49 49 50 50 51 52 52 53 54 54 55 56 56 56 57 59 60 60 61 62 63 64 66 4 Spis treści danymi osobowymi .................................................................................... 11.7. Niedopełnienie obowiązku informacyjnego przez administrującego 11.8. Udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej ................................................................................................... 12. Zasady kontroli przetwarzania danych osobowych przez GIODO .................... 12.1. Kontrola GIODO ........................................................................................ 12.2. Zadania GIODO .......................................................................................... 12.3. Uprawnienia kontrolne GIODO ................................................................ 12.4. Uprawnienia inspektora ............................................................................. 12.5. Obowiązki inspektora ................................................................................ 12.6. Obowiązki kontrolowanego ........................................................................ 12.7. Legitymacja i upoważnienie ....................................................................... 12.8. Termin i czas kontroli ................................................................................. 12.9. Miejsce kontroli .......................................................................................... 12.10. Dokumentowanie czynności kontrolnych ................................................ 12.11. Uprawnienia pokontrolne ......................................................................... 13. Wyniki kontroli GIODO w szkołach i placówkach ............................................ 13.1. Udostępnianie danych osobowych nauczycieli i rodziców ........................ 13.2. Udostępnianie danych osobowych uczniów ............................................... 13.3. Zakres danych przetwarzanych przez szkoły i placówki ............................ CZĘŚĆ II – SZCZEGÓLNE PRZYPADKI OCHRONY DANYCH OSOBOWYCH ...... 14. Ochrona danych osobowych a system informacji oświatowej ............................ 15. Ochrona danych osobowych a e-dziennik ........................................................... 16. Ochrona danych osobowych a dostęp do informacji publicznej ........................ 17. Ochrona danych osobowych a ochrona informacji niejawnych ......................... 18. Ochrona danych osobowych a jawność wynagrodzeń pracowników ................. 18.1. Podstawa prawna ochrony informacji o wynagrodzeniu pracownika ...... 18.2. Informacja o wynagrodzeniu jako dana osobowa ...................................... 18.3. Niejawność informacji o wynagrodzeniu .................................................. 18.4. Ujawnianie informacji o wynagrodzeniu osób pełniących funkcje publiczne .................................................................................................... 18.5. Udostępnianie informacji o wynagrodzeniu w orzecznictwie ................... 18.6. Informacja o wynagrodzeniu osób niepełniących funkcji publicznych .... 19. Ochrona danych osobowych a strona internetowa placówki oświatowej ........... 19.1. Udostępnianie danych osobowych w Internecie ........................................ 19.2. Publikowanie danych osobowych za zgodą ................................................ 19.3. Publikowanie danych osobowych bez zgody ............................................. 19.4. Publikowanie zdjęć (rozpowszechnianie wizerunku) ................................ 20. Kontakty z mediami a ochrona danych osobowych ............................................ 21. Monitoring wizyjny a ochrona danych osobowych ............................................. 21.1. Miejsca objęte monitoringiem .................................................................... 21.2. Przechowywanie i udostępnianie nagrań z monitoringu szkolnego ......... 21.3. Monitorowanie pracowników ..................................................................... 66 67 68 68 68 70 71 72 72 72 73 73 73 73 76 76 76 77 79 81 83 84 87 87 87 87 88 88 89 89 90 90 91 92 93 95 96 96 96 97 5 Spis treści 22. Wyłudzanie danych osobowych uczniów i rodziców .......................................... 22.1. Działalność fi rm komercyjnych w szkole ................................................... 22.2. Zgoda rodziców na gromadzenie danych osobowych uczniów ................. i nazwiskiem ........................................................................................................ 98 98 98 99 osobę inną niż rodzice ......................................................................................... 100 kredytobiorców .................................................................................................... 100 23. Ochrona danych osobowych a noszenie identyfi katora z imieniem 24. Ochrona danych osobowych a procedura weryfi kowania danych osobowych 25. Ochrona danych osobowych a upoważnienia do odbioru dzieci przez 26. Ochrona danych osobowych a udzielanie informacji o dziecku innym osobom niż rodzic ............................................................................................... 100 27. Ochrona danych osobowych a uchwały rady pedagogicznej .............................. 101 28. Ochrona danych osobowych a działalność pielęgniarki szkolnej ...................... 102 29. Ochrona danych osobowych byłego pracownika ............................................... 103 30. Ochrona danych osobowych a wgląd do dokumentacji szkolnej ........................ 104 31. Ochrona danych osobowych a profi l szkoły na Facebooku ................................ 105 32. Ochrona danych osobowych a fi lmowanie lekcji ................................................ 106 33. Ochrona danych osobowych a nagrywanie rozmów ........................................... 107 34. Ochrona danych osobowych a udostępnienie arkusza organizacyjnego szkoły związkom zawodowym ............................................................................. 108 35. Ochrona danych osobowych a zakładowy fundusz świadczeń socjalnych ........ 109 36. Ochrona danych osobowych a dane umieszczane w protokole powypadkowym ................................................................................................... 110 37. Ochrona danych osobowych a ich udostępnianie księżom w parafi i ................. 111 38. Ochrona danych osobowych a wywiadówki szkolne ........................................... 112 39. Ochrona danych osobowych a dziennik lekcyjny ................................................ 113 40. Ochrona danych osobowych a przekazywanie danych e-mailem ....................... 114 41. Ochrona danych osobowych a dziennik nauczania indywidualnego ................. 115 42. Ochrona danych osobowych a dokumentacja poradni psychologiczno-pedagogicznej ............................................................................ 115 43. Ochrona danych osobowych a ankiety szkolne ................................................... 116 44. Ochrona danych osobowych a NNW na wycieczkach ......................................... 117 45. Ochrona danych osobowych a zbiory danych praktykantów i wolontariuszy ... 119 46. Ochrona danych osobowych a skarga na szkołę .................................................. 119 CZĘŚĆ III – DOKUMENTACJA ...................................................................................... 121 47. Zgoda na przetwarzanie danych osobowych (1) ................................................. 123 48. Zgoda na przetwarzanie danych osobowych (2) ................................................. 124 49. Zgoda na przetwarzanie danych osobowych (3) ................................................. 125 50. Cofnięcie zgody na przetwarzanie danych osobowych ...................................... 126 51. Umowa powierzenia przetwarzania danych osobowych ..................................... 127 52. Zarządzenie dyrektora w sprawie dokumentacji przetwarzania danych osobowych ............................................................................................... 131 53. Oświadczenie zbiorcze pracowników w sprawie ochrony danych osobowych .. 132 6 Spis treści do przetwarzania danych osobowych .................................................................. 146 54. Polityka bezpieczeństwa ...................................................................................... 133 55. Instrukcja zarządzania systemem informatycznym służącym 56. Indywidualny zakres obowiązków nałożonych na użytkownika systemu informatycznego przetwarzającego dane osobowe ............................................. 157 57. Upoważnienie do przetwarzania danych osobowych (1) .................................... 158 58. Upoważnienie do przetwarzania danych osobowych (2) .................................... 159 58. Upoważnienie do przetwarzania danych osobowych (3) .................................... 160 59. Procedura nadawania i zmiany uprawnień do przetwarzania danych osobowych ............................................................................................................ 161 60. Ewidencja osób upoważnionych do przetwarzania danych osobowych ............ 162 61. Zgłoszenie zbioru danych do rejestracji GIODO ................................................ 163 62. Informacja o przetwarzaniu danych osobowych dla rodziców i opiekunów dzieci/pracowników/stażystów/praktykantów .................................................... 169 63. Akt powołania administratora bezpieczeństwa informacji ................................ 170 64. Zgłoszenie powołania administratora bezpieczeństwa informacji 65. Zgłoszenie odwołania administratora bezpieczeństwa informacji 66. Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych ............................................................................................................ 176 67. Procedury wykonywania przeglądów i konserwacji systemu informatycznego ..... 179 68. Formy naruszenia ochrony danych osobowych .................................................. 180 69. Podstawowa lista kontrolna przestrzegania ochrony danych osobowych ......... 183 70. Raport z naruszenia zabezpieczenia danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych ..................... 184 71. Zgoda na wykorzystanie wizerunku dziecka ...................................................... 186 72. Zgoda na wykorzystanie wizerunku nauczyciela/pracownika ........................... 186 73. Wniosek do dyrektora o zgodę na przetwarzanie danych osobowych 74. Zgoda na przetwarzanie danych osobowych uczestników wycieczki szkolnej do rejestracji GIODO .......................................................................................... 174 do rejestracji GIODO ........................................................................................... 171 uczestników wycieczki poza teren szkoły ............................................................ 187 poza teren szkoły .................................................................................................. 187 (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) ..................................................... 191 CZĘŚĆ IV – AKTY PRAWNE ......................................................................................... 189 75. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych 76. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 77. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) ...................................... 214 w sprawie wzorów zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. z 2014 r. poz. 1934) ..................................... 220 7 78. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) .................................................................. 221 79. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719) .......................... 225 80. Art. 81 ustawy o prawie autorskim i prawach pokrewnych ................................ 227 CZĘŚĆ I  – OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH 1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. Funkcje opiekuńczo-wychowawczo-dydaktyczne to niejedyne zadania jednostek oświatowych. Działalność każdego przedszkola, szkoły i placówki podlega także przepi- som ustawy z 9 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) – dalej: uodo. W rozumieniu art. 7 pkt 4 uodo są one administratora- mi danych osobowych, zaś za prawidłowe stosowanie i przestrzeganie obowiązujących regulacji odpowiada dyrektor decydujący o celach i środkach przetwarzania danych oso- bowych. W ramach tych obowiązków dyrektor jest przede wszystkim zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Musi zapewnić też opracowanie dokumentów polityki bezpieczeństwa oraz instrukcji za- rządzania systemem informatycznym oraz ich przestrzeganie, a także zgłosić do Gene- ralnego Inspektora Ochrony Danych Osobowych niektóre zbiory danych przetwarzane w jego jednostce. Dyrektor i pracownicy powinni też wiedzieć, które dane osobowe pla- cówka może gromadzić wprost na podstawie przepisów ustawy, a które może pozyskiwać i przetwarzać tylko za zgodą. Vademecum omawia zakres danych osobowych, które jednostka może pozyskiwać, oraz zasady ich ochrony w kontekście najnowszych zmian. Od 1 stycznia 2015 r. obo- wiązują znowelizowane przepisy ustawy o ochronie danych osobowych, wprowadzone ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662). Zmiany dotyczą:  statusu administratora bezpieczeństwa informacji (ABI), jego pozycji, kompeten- cji i obszarów działania,  obowiązków administratora danych osobowych (ADO), polegających na zgłasza- niu do rejestracji zbiorów danych oraz wyznaczonego ABI,  kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO). 11 Przewodnik po ochronie danych osobowych Tabela 1. Wykaz zmian w ustawie o ochronie danych osobowych wprowadzonych od 1 stycznia 2015 r. Skreślony został art. 36 ust. 3 uodo, a w jego miejsce pojawiły się art. od 36a do 36c, które w sposób kompleksowy normują pozycję i kompetencje ad- ministratora bezpieczeństwa informacji. ABI może powołać administrator danych (art. 36a ust. 1 uodo). Ma on prawo powołać również zastępców ABI. Wyznaczenie ABI nie jest obowiązkowe – jeśli w szkole takiej osoby nie będzie, zadania określone w art. 36a ust. 2 pkt 1 uodo, czyli związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, z wyłączeniem obowiązku sporządzania sprawozdania, wykonywać ma administrator danych (art. 36b uodo). Dyrektor powinien zdecydować, czy powołać ABI, czy też samodzielnie zapewniać przestrzeganie zasad ochrony danych osobowych. W dotychczasowych przepisach nie było postanowień określających status administratora bezpieczeństwa informacji. Po nowelizacji określa je art. 36a uodo. Ma to być osoba m.in. posiadająca wiedzę w zakresie ochrony danych osobowych, czyli odpowiednio przygotowana i dająca rękojmię należytego wykonywania funkcji. Dotychczas funkcję ABI często powierzano osobie, która pełniła już inne obowiązki, np. zastępcy dyrektora szkoły, sekretarce czy nauczycielowi informatyki. Zapewnienie środków i organizacyjnej odrębności ABI, niezbędnych do niezależnego wykonywania przez niego zadań, jest obo- wiązkiem administratora danych. Zgodnie z art. 36a ust. 2 pkt 1 uodo do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:  sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ich ochronie oraz opracowanie w tym zakresie sprawozdania dla administratora danych,  nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo, oraz przestrzegania zasad w niej określonych,  zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Nowym obowiązkiem administratora bezpieczeństwa informacji jest prowa- dzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 uodo, czyli zwolnionych z obowiązku zgłoszenia do rejestracji. Rejestr zbiorów prowadzonych przez ABI ma zawierać: nazwy zbiorów oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 uodo, a więc zwykle charakteryzujące zbiór przy rejestracji, zawarte w zgłoszeniu zbioru do rejestracji. Rejestr ten jest jawny i każdy ma prawo go przeglądać. Tryb i sposób realizacji zadań ABI oraz sposób prowa- dzenia przez niego rejestru zbiorów danych regulowany jest rozporządzeniem. Podstawową nowością w zakresie rejestracji zbiorów jest niezgłaszanie GIODO tych zbiorów administratora danych, które zarejestrowane są lokalnie przez ABI. Ponieważ jednak z art. 43 ust. 1a uodo wynika, że obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go GIODO do rejestracji (z zastrzeżeniem art. 46e ust. 2 uodo), niezgłaszanie zbiorów jest ograniczone, bo:  zwolnienie z rejestracji GIODO dotyczy tylko przypadków prowadzenia rejestru przez zarejestrowanego ABI,  jeśli w zbiorach przetwarzane są dane wrażliwe, to zarejestrowanie u ABI nie wystarczy, bo i tak trzeba wypełnić obowiązek zgłoszenia GIODO, Powołanie ABI w szkole Kwalifi kacje ABI Zadania ABI Nowości przy rejestracji zbiorów danych 12 Nowości przy rejestracji zbiorów danych Rejestr ABI Rozszerzenie kom- petencji General- nego Inspektora Ochrony Danych Osobowych (GIODO) Część I – Ogólne zasady ochrony danych osobowych  w przypadku ABI ponownie zgłoszonego (po uprzednim wykreśleniu) do rejestru administratorów bezpieczeństwa informacji zwolnienie z obowiązku rejestracji stosuje się dopiero po wpisaniu zgłoszonego ABI do tego rejestru. Powołanie w szkole ABI wiąże się z koniecznością zgłoszenia tej osoby do re- jestracji. Zgodnie z przepisami ustawy o ochronie danych osobowych GIODO ma prowadzić ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, do którego dyrektorzy szkół będą zgłaszać wyznaczonych przez siebie ABI. Wzory zgłoszeń powołania i odwołania zostały określone w rozpo- rządzeniu. Na podstawie art. 46b uodo administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie lub odwołanie administratora bezpieczeństwa informacji w terminie 30 dni. Ustawa określa również zakres zgłaszanych infor- macji. Zgłoszenie powołania ABI do rejestracji powinno zawierać:  oznaczenie administratora danych i adres jego siedziby lub miejsca za- mieszkania, w tym numer identyfi kacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;  dane administratora bezpieczeństwa informacji: – imię i nazwisko, – numer PESEL lub gdy ten numer nie został nadany, nazwę i numer doku- mentu stwierdzającego tożsamość, – adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; – datę powołania;  oświadczenie administratora danych o spełnianiu przez administratora bez- pieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7. Zgłoszenie odwołania natomiast powinno ponadto zawierać datę i przyczynę odwołania. Administrator danych jest także zobowiązany w terminie 14 dni zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa w art. 46b ust. 2 uodo. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania ABI. Na żądanie ABI lub administratora danych GIODO wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. Do celów doku- mentacyjnych i dowodowych rekomenduje wystąpienie do GIODO o wydanie tego zaświadczenia. Znowelizowana ustawa o ochronie danych osobowych określa także zasady wykreślania ABI z rejestru. Warto przy tym pamiętać, że po wykreśleniu konieczne będzie zgłoszenie do rejestracji GIODO tych zbiorów, które dotychczas korzystały ze zwolnienia wynikającego z funkcjono- wania w szkole administratora bezpieczeństwa informacji. Administrator bezpieczeństwa informacji co najmniej raz w roku powinien przeprowadzić sprawdzenie zgodności przetwarzania danych osobowych w jednostce z przepisami. Z tego narzędzia korzystać ma przede wszystkim ad- ministrator danych – ma mu ono służyć do uzyskania wiedzy o stanie ochrony danych osobowych w placówce. Z instytucji tej jednak skorzysta też GIODO, dla którego sprawdzenie prowadzone przez ABI może być wsparciem w dzia- łalności kontrolnej. Poprzez ten instrument GIODO zyskuje bowiem kontakt z podmiotem (ABI), który z uwagi na swą niezależność i profesjonalizm zapewnia wysoki poziom współpracy. W art. 36c uodo określono elementy sprawozdania opracowanego w wyniku sprawdzenia. Zgodnie z dodanym do ustawy o ochronie danych osobowych art. 19b GIODO może zwrócić się do ABI o sprawdzenie u administratora danych, który go 13 Przewodnik po ochronie danych osobowych Rozszerzenie kom- petencji General- nego Inspektora Ochrony Danych Osobowych (GIODO) powołał, zgodności przetwarzania danych osobowych z przepisami, wskazując jego zakres i termin. Po dokonaniu tego sprawdzenia ABI – za pośrednic- twem administratora danych, czyli w szkole/przedszkolu za pośrednictwem jej dyrektora – przedstawia GIODO sprawozdanie, takie jakie zwykle sporzą- dzać ma dla administratora danych. Sprawdzenie to ma mieć m.in. charakter prewencyjny i w efekcie ma oddalać ewentualną kontrolę w danej placówce przez GIODO. Ustawa przewiduje jednak, że przeprowadzenie sprawdzenia przez ABI na żądanie GIODO nie wyklucza prawa Generalnego Inspektora do przeprowadzenia kontroli. Nowe uregulowania będą miały wpływ na kształt systemu ochrony danych osobowych u każdego administratora danych, dotyczą więc również placówek oświatowych zobo- wiązanych do stosowania przepisów ustawy o ochronie danych osobowych. Nowelizacja może oznaczać konieczność zmian w dotychczasowej dokumentacji. Bez względu na to, czy dyrektor zdecyduje się powołać ABI, czy też nie, zasadna jest analiza prowadzonej dokumentacji techniczno-organizacyjnej, czyli Polityki bezpieczeń- stwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarza- nia danych osobowych. Należy albo wprowadzić do nich postanowienia o powołaniu administratora bezpieczeństwa informacji i jego kompetencjach, albo zaznaczyć, że ad- ministrator danych nie powołuje ABI i samodzielnie zapewnia przestrzeganie przepisów o ochronie danych osobowych. Jeśli dyrektor szkoły zdecyduje się powołać ABI, powinien ten fakt udokumentować. Wyznaczenie administratora bezpieczeństwa informacji może nastąpić zarówno w dro- dze zarządzenia, jak i poprzez omówione już wprowadzenie w Polityce bezpieczeństwa odpowiednich postanowień, z których wynikać będzie, że osoba zajmująca dane stano- wisko pełni tę funkcję. W związku z działalnością ABI w szkole pojawią się sprawozda- nia dokumentujące sprawdzanie przez niego zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto nowymi dokumentami będą kopie zgłoszeń powołania bądź odwołania ABI czy kopie zaświadczeń o zarejestrowaniu, wyni- kające z obowiązku zarejestrowania administratora bezpieczeństwa informacji u GIODO. Przetwarzanie danych osobowych w placówce oświatowej, niezależnie czy jest to pla- cówka publiczna, czy niepubliczna, jest jednym z podstawowych procesów w niej zacho- dzących. Zebrane informacje, zarówno te dotyczące uczniów, wychowanków, jak i ich rodziców, stanowią fundament jej funkcjonowania. Ponadto stale rosnąca wśród społe- czeństwa świadomość ochrony danych osobowych jest sygnałem dla podmiotów prze- twarzających dane do szczególnego zwrócenia uwagi na tę kwestię. Dlatego też tak ważne jest to, aby proces ten był legalny, dostęp do danych mieli jedynie upoważnieni pracow- nicy, a wszystkie zebrane dane zostały należycie zabezpieczone. Obecnie obowiązujące przepisy zapewniają, w większości przypadków, skuteczną ochronę danych. Oczywiście zdarza się, że dyrektorzy czy nauczyciele nie znajdują od- powiedzi na nurtujące ich pytania w obowiązujących przepisach prawa. Dlatego ma- teriał ten ma za zadanie usystematyzować kwestie związane z przetwarzaniem danych osobowych dzieci, wychowanków, ich rodziców, nauczycieli i pracowników niepedago- 14 Część I – Ogólne zasady ochrony danych osobowych gicznych. Przejrzysta formuła ułatwi zaś zobrazowanie przepisów prawa obowiązujących w tym zakresie. Publikacja pozwoli:  zaktualizować wiedzę dotyczącą danych osobowych i obowiązków spoczywających na dyrektorze w tym zakresie, dotychczasowych dokumentów,  poznać zakres zmian obowiązujących od 1 stycznia 2015 r. i sposób dostosowania  ustalić, czy każda placówka będzie musiała powołać administratora bezpieczeń- stwa informacji (ABI), a jeżeli tak, to jakie wymagania musi spełniać osoba spra- wująca tę funkcję,  poznać najczęściej popełnianie błędy, żeby wyeliminować je w swojej placówce. 2. Regulacje prawne dotyczące ochrony danych osobowych Zasada ochrony danych osobowych znajduje swoje źródło w ustawie zasadniczej – w Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (Dz.U. z 1997 r. nr 78, poz. 483 ze zm.). W art. 47 i art. 51 gwarantuje ona każdemu prawo do ochrony życia prywatnego i zakłada, że zasady gromadzenia oraz udostępniania informacji o osobie określać ma akt prawny rangi ustawy. Założenie to zostało zrealizowane poprzez wydanie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.). Ustawa określa m.in., w jakich sytuacjach i jakie dane osobowe mogą podlegać przetwarzaniu, precyzuje wymogi stawiane administratorom danych, a także określa prawne konsekwen- cje naruszenia postanowień w niej zawartych. Zobacz treść ustawy na płycie CD Zakres podmiotów podlegających regulacjom ustawy o ochronie danych osobowych uodo został wskazany w art. 3 uodo. Ustawę stosuje się do organów państwowych, or- ganów samorządu terytorialnego oraz do państwowych i komunalnych jednostek orga- nizacyjnych. Znajduje ona także zastosowanie do podmiotów niepublicznych realizujących zada- nia publiczne, osób fi zycznych i osób prawnych oraz jednostek organizacyjnych niebę- dących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Oznacza to, że przepisy uodo będą stosowane także w działalności szkół oraz jedno- stek, które przetwarzają dane osobowe w ramach działalności na polu oświaty (np. orga- nów prowadzących). Treść ustawy o ochronie danych osobowych została rozszerzona przez ustawodawcę o rozporządzenia wykonawcze. Na uwagę zasługuje kilka z nich:  rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków tech- 15 Przewodnik po ochronie danych osobowych nicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy in- formatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) – defi niuje „obszar przetwarzania” i potrzebę oznaczania pomieszczeń, w których przetwarzane są dane osobowe, oraz określa trzy poziomy bezpieczeń- stwa przetwarzania danych osobowych w systemach informatycznych, zapewnia- jące zachowanie poufności, integralności i rozliczalności danych;  rozporządzenie ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspekto- rowi Ochrony Danych Osobowych (Dz.U. z 2008 r. nr 229, poz. 1536);  rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informa- cji (Dz.U. z 2014 r. poz. 1934);  rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) – określa tryb i sposób sprawdzania zgodności przetwa- rzania danych osobowych z przepisami o ochronie danych osobowych oraz opra- cowania sprawozdania w tym zakresie; nadzorowania opracowania, aktualizowania przestrzegania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych da- nych osobowych;  rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie spo- sobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbio- rów danych (Dz.U. z 2015 r. poz. 719). Trzy ostanie rozporządzenia związane są  z  nowelizacją ustawy obowiązującą od 1 stycznia 2015 r. Zobacz treść rozporządzeń na płycie CD Kwestie dotyczące ochrony danych osobowych normowane są także w innych ak- tach prawnych. O ile ustawa o ochronie danych osobowych w sposób ogólny normuje ochronę danych osobowych – o tyle inne odnoszą się szczegółowo do kwestii tej ochro- ny w wybranych konkretnych dziedzinach działalności (np. art. 81 ustawy o prawie au- torskim i prawach pokrewnych odnosi się do ochrony wizerunku). Wskazać przy tym trzeba, że placówki oświatowe objęte są zakresem działania ustawy o ochronie danych osobowych nie tylko jako podmioty realizujące określone zadania publiczne w zakresie oświaty, ale też jako pracodawcy. Zobacz treść art. 81 ustawy na płycie CD 16 Część I – Ogólne zasady ochrony danych osobowych 3. Dane osobowe Schemat 1. Rodzaje danych osobowych DANE OSOBOWE DANE OSOBOWE ZWYKŁE DANE OSOBOWE WRAŻLIWE 3.1. Dane osobowe zwykłe Danymi osobowymi są wszelkie informacje dotyczące zidentyfi kowanej lub możli- wej do zidentyfi kowania osoby fi zycznej (osobą możliwą do zidentyfi kowania jest oso- ba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfi kacyjny albo jeden lub kilka specyfi cznych czynników określających jej cechy fi zyczne, fi zjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne) – art. 6 uodo. Danymi osobowymi są wszelkie informacje dotyczące osoby fi zycznej, tj. informacje odnoszące się do wszystkich dziedzin jej życia (rodzinnego, zawodowego, aktywności pozazawodowej, stanu majątkowego itd.). Przepisy nie precyzują formy tych informa- cji, a zatem chodzi o dane wyrażone w jakiejkolwiek formie, tj. np. na piśmie, w nagra- niu fi lmowym bądź dźwiękowym, na obrazie, w formie zapisu informatycznego. Forma, w której informacje o osobie zostały zawarte, nie ma znaczenia dla zakwalifi kowania ich jako danych osobowych. Podstawowy warunek uznania informacji za dane osobowe jest taki, że ma ona zawierać w sobie wiedzę dotyczącą osoby fi zycznej:  już zidentyfi kowanej, czyli konkretnej osoby o oznaczonej tożsamości,  możliwej do zidentyfi kowania, czyli tej, której tożsamość można ustalić (bezpo- średnio lub pośrednio) w zestawieniu z innymi informacjami, dodatkowymi oko- licznościami (wiedzą). Pojęcie danych osobowych dobrze zostało wyjaśnione przez Naczelny Sąd Admini- stracyjny (wyrok NSA z 18 listopada 2009 r., OSK 667/09): „Dane osobowe to zespół wia- domości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfi kacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bo mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfi kacji. Do informacji takich z pewnością należą zdjęcia osoby fi zycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfi kację (…). O zakwalifi kowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst), do ja- kich dostęp mają osoby trzecie”. 17 Przewodnik po ochronie danych osobowych uwaga Jeżeli ustalenie tożsamości osoby na podstawie określonych informa- cji wymagałoby nadmiernych kosztów, czasu lub działań, to nie uważa się ich za dane osobowe. Danymi osobowymi będą zatem zarówno te informacje, które pozwalają na okre- ślenie tożsamości konkretnej osoby, jak i te, które nie umożliwiają jej natychmiastowej identyfi kacji, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Danymi osobowymi będzie więc ta informacja, która pozwala na ustalenie tożsamości konkretnej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Nie będzie nimi za- tem ta informacja, na podstawie której identyfi kacja osoby wymaga nieracjonalnych, nie- proporcjonalnie dużych nakładów kosztów, czasu lub działań. Danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólno- ści, np. nazwa ulicy, numer domu czy wysokość średniego wynagrodzenia w szkole. Nie zaliczymy do nich też informacji, które dotyczą osób prawnych, tj. urzędów, z którymi szkoła współpracuje, spółdzielni, od których placówka wynajmuje lokal, czy fi rm. Informacja będzie jednak danymi osobowymi, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej oso- by. Przykładem pojedynczej informacji, którą można uznać za dane osobowe, jest nu- mer PESEL, a jego przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych. Są nimi również imię i nazwisko, adres zamieszkania, data urodzenia, NIP, wykształcenie, zarobki oraz inne informacje dotyczące konkretnej osoby, za pomocą których będzie można ją zidentyfi kować. Nie ma zamkniętego katalogu danych osobowych. Dlatego też przy rozstrzyganiu, czy określona informacja lub informacje to dane osobowe, w większości przypadków, nieunikniona jest zindywidualizowana ocena uwzględniająca konkretne okoliczności oraz rodzaj środków czy metod potrzebnych w określonej sytuacji do identyfi kacji osoby. Dane osobowe odnoszą się wyłącznie do osób fi zycznych, a ich ochrona przysługuje bez wyjątku każdemu, w tym również uczniom, dzieciom (wychowankom przedszkola). Ramka 1. Wykaz danych osobowych Za dane osobowe uczniów, wychowanków, rodziców, nauczycieli lub innych pracowników możemy uznać m.in.:  imię i nazwisko,  wizerunek,  numer telefonu,  adres e-mail,  adres zamieszkania,  fi lmy i zdjęcia z monitoringu – jeśli możliwe jest przypisanie utrwalonych na taśmach (zdjęciach) wizerunków do konkretnych osób (np. dzieci, pracowników danej szkoły). 18 Część I – Ogólne zasady ochrony danych osobowych 3.2. Dane osobowe wrażliwe Pojęcie danych osobowych nie ma jednorodnego charakteru. Wyróżniono bowiem dane o szczególnym charakterze, tzw. dane wrażliwe (delikatne, sensytywne), przeciw- stawiane niekiedy tzw. danym zwykłym (pospolitym). W odniesieniu do danych wrażli- wych wprowadzono bardziej intensywną ochronę, a ich przetwarzanie podlega odrębnym zasadom (art. 27 uodo). Ramka 2. Wykaz danych osobowych wrażliwych Za dane wrażliwe ustawa uznaje dane dotyczące:  pochodzenia rasowego lub etnicznego,  poglądów politycznych,  przekonań religijnych lub fi lozofi cznych (odnosi się to także do postawy ateistycznej lub agnostycz- nej, kategoria ta nie obejmuje natomiast zasad moralnych),  przynależności wyznaniowej, partyjnej lub związkowej (także fakt nieprzynależności do organizacji i wystąpienia z niej),  stanu zdrowia,  kodu genetycznego,  nałogów (w tym poddania się leczeniu odwykowemu lub przerwania go, uczestniczenia w grupach i organizacjach stawiających sobie za cel walkę z uzależnieniami),  życia seksualnego,  skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 4. Przetwarzanie danych osobowych 4.1. Defi nicja przetwarzania danych osobowych Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykony- wane na danych osobowych, takie jak:  zbieranie,  utrwalanie,  przechowywanie,  opracowywanie,  zmienianie,  udostępnianie i  usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 uodo). Przykład Przetwarzaniem danych będzie zbieranie danych osobowych dzieci podczas procesu rekrutacji do przedszkola/szkoły, zapisywanie ich w dziennikach lekcyjnych, wprowa- dzanie do Systemu Informacji Oświatowej, umieszczanie informacji o laureatach kon- kursów na szkolnej stronie internetowej itp. 19 Przewodnik po ochronie danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które posiadają upoważnienie nadane przez administratora danych. Konieczna jest kontrola nad tym, ja- kie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazy- wane. Musi być też prowadzona ewidencja osób upoważnionych do przesyłania danych. Istnieje wreszcie obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upo- ważnienie nadane przez administratora danych. Udzielone upoważnienia do przetwarza- nia danych są odnotowane w ewidencji osób upoważnionych do ich przetwarzania, którą dyrektor szkoły również musi prowadzić. Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna za-  imię i nazwisko osoby upoważnionej,  datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobo- wierać: wych,  identyfi kator, jeżeli dane są przetwarzane w systemie informatycznym. 4.2. Dopuszczalność przetwarzania Pod kątem podstawy przetwarzania należy rozpatrywać każdy konkretny zakres da- nych. Podstawę przetwarzania należy rozpatrywać zawsze w związaniu z celem przetwa- rzania. Administrator danych musi umieć wykazać się podstawą prawną przetwarzania da- nych (ciężar dowodu). Dane jednej osoby mogą być przetwarzane na różnych podsta- wach prawnych. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 uodo). W szczególności jest obowiązany zapewnić, aby były spełnione następujące przesłan- ki przetwarzania:  legalności – przetwarzane zgodnie z prawem (art. 23 lub 27 uodo),  celowości – przetwarzanie tylko w określonym, legalnym celu,  czasowości – przetwarzanie tylko do momentu osiągnięcia celu,  merytorycznej poprawności w stosunku do celów, w jakich są przetwarzane,  adekwatności – przetwarzania tylko takiego zakresu danych, który jest niezbędny do osiągnięcia celu. 4.3. Przesłanki legalności przetwarzania danych Każdego rodzaju operacje dokonywane na danych osobowych, jak na przykład ich gromadzenie, przechowywanie, zmienianie czy nawet usuwanie, będące faktycznie ich przetwarzaniem, należy uzasadnić spełnieniem jednego z warunków zawartych w art. 23 uodo. 20 Część I – Ogólne zasady ochrony danych osobowych Istnieje pięć przesłanek przetwarzania danych osobowych:  zgoda danej osoby na wykorzystanie jej danych (w przypadku dzieci zgoda rodzi- ców),  realizacja obowiązków wynikających z przepisów prawa,  realizacja umowy,  działanie dla dobra publicznego,  realizacja prawnie usprawiedliwionego celu administratora danych. Wzór: Zgoda na przetwarzanie danych osobowych (różne wersje) – strony 123, 124, 125. Wzór: Cofnięcie zgody na przetwarzanie danych osobowych – strona 126.  Przetwarzanie danych osobowych wrażliwych jest możliwe, jeżeli zostaną spełnio- ne wszystkie przesłanki z art. 27 ust. 2 uodo: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych.  Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgo- dy osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony.  Przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów oso- by, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fi zycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opieku- na prawnego lub kuratora.  Jest to niezbędne do wykonania statutowych zadań Kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, fi lozofi cznych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie człon- ków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwa- rzanych danych.  Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed  Przetwarzanie jest niezbędne do wykonania zadań administratora danych odno- szących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie.  Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo lecze- niem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.  Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą.  Jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stop- nia naukowego; publikowanie wyników badań naukowych nie może umożliwiać identyfi kacji osób, których dane zostały przetworzone. sądem. 21 Przewodnik po ochronie danych osobowych  Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obo- wiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub ad- ministracyjnym. Wymienione w art. 23 ust. 1 uodo przesłanki dopuszczalności przetwarzania danych osobowych są od siebie niezależne, co oznacza, że wystąpienie tylko jednej z nich prze- sądza o dopuszczalności przetwarzania danych osobowych. Dopuszczalność przetwa- rzania danych osobowych nie zawsze jest więc uzależniona od uzyskania na to zgody osoby, której dane mogą być przetwarzane. Artykuł 23 ust. 1 uodo, poza zgodą osoby, której dane dotyczą, wskazuje również inne okoliczności, które dopuszczają przetwarza- nie danych osobowych. Jeśli nie zachodzi żadna z przesłanek wymienionych w art. 23 ust. 1 pkt 2–5 uodo, to przetwarzanie danych osobowych jest dopuszczalne po uzyskaniu na to zgody osoby, której dane dotyczą. 4.4. Katalog danych osobowych przetwarzanych przez placówki oświatowe Schemat 2. Katalog danych osobowych przetwarzanych w placówce oświatowej Pozyskiwanie danych osobowych osób ubiegają- cych się o zatrudnienie Dane osobowe przetwarzane w związku ze sto- sunkiem pracy (nauczycieli i pracowników nie- będących nauczycielami), w tym również dane gromadzone w związku z korzystaniem z zakła- dowego funduszu świadczeń socjalnych Dane osobowe przetwarzane na podstawie usta- wy o systemie oświaty oraz aktów wykonawczych wydanych na jej podstawie Dane osobowe umieszczane na stronach interne- towych szkoły/przedszkola Dane osobowe zawarte na fi lmach z kamer umieszczonych w szkole/przedszkolu (monito- ring) Katalog danych osobowych przetwarzanych w placówce oświatowej 22
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Przewodnik po ochronie danych osobowych - Vademecum dyrektora i nauczyciela placówki oświatowej
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: