Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00177 008561 23007347 na godz. na dobę w sumie
Ochrona danych osobowych w jednostkach oświaty - ebook/pdf
Ochrona danych osobowych w jednostkach oświaty - ebook/pdf
Autor: Liczba stron: 249
Wydawca: C. H. Beck Język publikacji: polski
ISBN: 978-83-255-5669-3 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki >> oświatowe
Porównaj ceny (książka, ebook (-5%), audiobook).

Ochrona danych osobowych w szkołach stanowi bardzo ważną i trudną problematykę. Jak wykazały kontrole GIODO w szkołach i placówkach oświatowych w wielu przypadkach dochodziło do łamania przepisów dotyczących ochrony danych osobowych. Z tego powodu ich znajomość jest niezbędna dla prawidłowej pracy szkoły. Znajomością taką powinni wykazywać się nie tylko dyrektorzy, pełniący funkcje administratorów danych osobowych w swoich placówkach, ale również wszyscy nauczyciele, którzy w codziennej pracy mają do czynienia z takimi danymi oraz pracownicy organów prowadzących szkoły. Ponadto przepisy prawa nakładają na każdego dyrektora szkoły i placówki opracowanie i wdrożenie odpowiedniej dokumentacji dotyczącej ochrony danych osobowych.

Publikacja przedstawia takie zagadnienia jak:

W publikacji wskazane zostały przesłanki dopuszczalności przetwarzania danych osobowych w szkołach, rodzaje tych danych, wraz ze wskazaniem w jaki sposób należy z nimi postępować. Omówiona została również problematyka rejestracji baz danych osobowych w GIODO.

 

 

Problematykę ochrony danych osobowych w szkołach regulują głównie przepisy ustawy o ochronie danych osobowych oraz wydane na jej podstawie akty wykonawcze. Duże znaczenie mają również ustawy o systemie informacji oświatowej. Przepisy zawarte we wspomnianych aktach prawnych nakładają na dyrektora szkoły, jako administratora danych osobowych, liczne obowiązki związane z zapewnieniem prawidłowego przetwarzania wspomnianych danych. Jednakże znajomość przepisów dotyczących tej problematyki dotyczy również nauczycieli, którzy powinni wiedzieć kiedy, i w jaki sposób mogą przetwarzać dane osobowe uczniów.

W niniejszej publikacji przedstawiono zagadnienia związane z ochroną danych osobowych odnoszące się do funkcjonowania szkoły i placówki oświatowej.  Zagadnienia te poparte zostały decyzjami i wystąpieniami GIODO dotyczącymi szkół, jak również wzorami dokumentów.

Dyrektor szkoły znajdzie tu w szczególności zagadnienia dotyczące:

1)     zasad dopuszczalności przetwarzania danych osobowych uczniów,

2)     zasad dopuszczalności przetwarzania danych osobowych nauczycieli,

3)     rejestracji zbiorów danych osobowych w GIODO,

4)     zasad opracowywania obowiązkowej dokumentacji szkolnej dotyczącej ochrony danych osobowych,

5)     zasad powoływania Administratora Bezpieczeństwa Informacji,

6)     kontroli GIODO w szkołach.

Nauczyciel znajdzie tu w szczególności zagadnienia dotyczące

1)     zasad postępowania ze zbiorami danych osobowych w szkołach,

2)     zasad postępowania z tworzonymi doraźnie zbiorami danych osobowych uczniów

Rodzic i uczeń znajdzie tutaj zagadnienia dotyczące praw osoby, której dane przetwarza szkoła.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Ochrona danych osobowych w jednostkach oświaty Ochrona danych osobowych w oświacie stanowi bardzo ważną i trudną problematykę. Potwierdzają to kontrole GIODO, które wykazały, że w wielu szkołach i placówkach oświatowych dochodziło do łamania przepisów dotyczących ochrony danych osobowych. Z tego powodu ich znajomość jest niezbędna dla prawidłowej pracy każdej jednostki oświatowej. Znajo- mością taką powinni wykazywać się nie tylko dyrektorzy, pełniący funkcje administratorów danych osobowych w swoich jednostkach, ale również wszyscy nauczyciele, którzy w codziennej pracy mają do czynienia z takimi danymi oraz pracownicy organów prowadzących szkoły. Ponadto przepisy prawa nakładają na każdego dyrektora szkoły i placówki opracowanie i wdro - żenie odpowiedniej dokumentacji dotyczącej ochrony danych osobowych. Niniejsza publikacja wyczerpująco omawia takie zagadnienia jak: n regulacje prawne dotyczące ochrony danych osobowych obowiązujące jednostki oświatowe, n rodzaje przetwarzanych danych osobowych, n wzor y dokumentacji szkolnej związanej z ochroną danych osobowych, n rodzaje zbiorów danych osobowych w szkołach, n zasady dopuszczalności przetwarzania danych osobowych, n obowiązki dyrektora szkoły jako administratora danych osobowych, n przetwarzanie danych osobowych w systemach IT, n kontrole GIODO w szkołach, n ochrona danych osobowych w zakresie przekazywania informacji do SIO, n dostęp do informacji publicznej w jednostkach oświaty. dr Adam Balicki – prawnik, historyk, archiwista, absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II w Lublinie oraz Wydziału Nauk Humanistycznych tejże uczelni. Ukończył kurs kwalifikacyjny z zakresu organizacji i zarządzania oświatą. Adiunkt w Katedrze Prawa Cywilnego i Postępowania Cywilnego na Wydziale Zamiejscowym Nauk Prawnych i Ekonomicznych KUL w Tomaszowie Lubel- skim oraz nauczyciel dyplomowany w Zespole Szkół Zawodowych i Ogólno - kształcących w Biłgoraju. Autor kilkudziesięciu publikacji naukowych, ko men - tarzy i poradników z zakresu prawa oświatowego, cywilnego oraz historii. Wykładowca na kursach kwalifikacyjnych z zakresu organizacji i zarządza- nia oświatą oraz licznych szkoleniach i warsztatach dla nauczycieli i kadry kierowniczej oświaty dotyczących prawa oświatowego i prawa w oświacie (w tym w zakresie ochrony danych osobowych w szkole). ISBN 978-83-255-5668-6 cena 129 zł i y t a w ś o h c a k t s o n d e j w h c y w o b o s o h c y n a d a n o r h c O i k c i l a B m a d A H C Y W O B O S O H C Y N A D A N O R H C O Adam Balicki Ochrona danych osobowych w jednostkach oświaty Zasady przetwarzania danych osobowych Obowiązki dyrektora jako administratora danych osobowych Zabezpieczenie systemów IT SIO a ochrona danych osobowych Dostęp do informacji publicznej zdrapka24:zdrapka10.qxd 13-09-11 13:05 Page 1 Ochrona danych osobowych w jednostkach oświaty zdrapka24:zdrapka10.qxd 13-09-11 13:06 Page 2 Ochrona danych osobowych w jednostkach oświaty Zakup książki daje dostęp (po wpisaniu kodu ze zdrapki) do pakietu podstawowego portalu www.ekspertbeck.pl przez 1 miesiąc gratis. UWAGA! Naruszenie pola ze zdrapką jest równoznaczne z zakupieniem produktu! OchrDanOÊw Wydawnictwo(cid:202)C.(cid:202)H.(cid:202)Beck,(cid:202)Beck(cid:202)Info(cid:202)Biznes ul. Bonifraterska 17; 00-203 Warszawa tel.: (22) 311 22 22; faks (22) 33 77 601 e-mail: bibredakcja@beck.pl www.beckinfobiznes.pl Adam Balicki Ochrona danych osobowych w jednostkach oświaty Wydawnictwo C.H. Beck Warszawa 2013 Ochrona danych osobowych w jednostkach oświaty 1. wydanie Stan prawny: wrzesień 2013 Autor: Adam Balicki Redaktor prowadzący: Marcin Majchrzak Korekta: Anna Kolasa © Wydawnictwo C.H. Beck 2013 Wszelkie prawa zastrzeżone. Opinie zawarte w niniejszej publikacji wyrażają osobisty punkt widzenia Autorów. Wydawnictwo C.H. Beck nie ponosi odpowiedzialności za zawarte w niej informacje. Wydawnictwo C.H. Beck Sp. z o.o. ul. Bonifraterska 17, 00-203 Warszawa tel.: 22 31 12 222 faks: 22 33 77 601 www.beck.pl www.beckinfobiznes.pl Skład i łamanie: PanDawer Druk: Totem, Inowrocław ISBN 978-83-255-5668-6 ISBN e-book 978-83-255-5669-3 Spis treści Wykaz autorów ........................................................................................................................................................... Wykaz skrótów ............................................................................................................................................................ Wprowadzenie ............................................................................................................................................................ 1. Regulacje prawne dotyczące ochrony danych osobowych ........................................................... 1.1. Podstawowe akty prawne regulujące ochronę danych osobowych w szkole i placówce oświatowej ................................................................................................................................................... 1.2. Podstawowe pojęcia związane z ochroną danych osobowych ................................................ 2. Rodzaje danych osobowych przetwarzanych przez szkołę ........................................................... 2.1. Rodzaje danych osobowych przetwarzanych przez szkołę i placówkę oświatową ........... 2.2. Dane osobowe wrażliwe ......................................................................................................................... 2.3. Dane osobowe zwykłe ............................................................................................................................. 2.4. Dane osobowe uczniów .......................................................................................................................... 2.5. Dane osobowe nauczycieli i pracowników szkoły ......................................................................... 3. Dokumentacja szkolna związana z przetwarzaniem danych osobowych .............................. 3.1. Rodzaje dokumentacji związanej z przetwarzaniem danych osobowych w szkole .......... 3.2. Polityka Bezpieczeństwa Informacji .................................................................................................... 3.3. Instrukcja zarządzania systemem informatycznym ....................................................................... 3.4. Rejestr osób upoważnionych do przetwarzania danych osobowych .................................... 3.5. Inna dokumentacja związana z ochroną danych osobowych w szkole ................................. 4. Rodzaje zbiorów danych osobowych w szkołach i placówkach oświatowych ..................... 4.1. Przykładowe zbiory danych osobowych w szkołach .................................................................... 4.2. Postępowanie ze zbiorami danych osobowych w szkole ........................................................... 4.3. Rejestracja zbiorów danych osobowych ........................................................................................... 5. Dopuszczalność przetwarzania danych osobowych w szkole ..................................................... 5.1. Dopuszczalność przetwarzania danych osobowych .................................................................... 5.2. Zgoda osoby na przetwarzanie danych osobowych .................................................................... 5.3. Prawa osoby, której dane osobowe są przetwarzane ................................................................... 6. Obowiązki dyrektora szkoły jako administratora danych osobowych .................................... 6.1. Obowiązki dyrektora szkoły związane z przetwarzaniem danych osobowych ................... 6.2. Odpowiedzialność dyrektora jako administratora danych osobowych w szkole i placówce oświatowej ............................................................................................................................. 6.3. Administrator Bezpieczeństwa Informacji – zasady powoływania, obowiązki ................... 7. Zabezpieczenie systemów IT w kontekście ochrony danych osobowych .............................. 7.1. Zagrożenia przy przetwarzaniu danych osobowych w systemach IT ..................................... 7.2. Podstawowe terminy związane z przetwarzaniem danych osobowych w systemach informatycznych ......................................................................................................................................... 7.3. Poziomy bezpieczeństwa i rodzaje zabezpieczeń ......................................................................... 7.4. Dziennik elektroniczny a ochrona danych osobowych ............................................................... V VII IX 1 1 3 11 11 11 13 14 23 29 29 29 45 54 56 75 75 77 78 85 85 87 90 93 93 95 97 101 101 103 105 108 IIIIII Spis treści 8. Generalny Inspektor Ochrony Danych Osobowych .......................................................................... 8.1. Zadania Głównego Inspektora Ochrony Danych Osobowych .................................................. 8.2. Kontrole GIODO w szkołach i placówkach oświatowych ............................................................ 8.3. Decyzje GIODO dotyczące szkół i placówek oświatowych ......................................................... 8.4. Interpretacje GIODO na temat stosowania przepisów o ochronie danych osobowych w szkołach i placówkach oświatowych .............................................................................................. 9. System Informacji Oświatowej a ochrona danych osobowych .................................................... 9.1. Wprowadzenie ............................................................................................................................................ 9.2. Zakres danych gromadzonych w Rejestrze Szkół i Placówek Oświatowych ........................ 9.3. Rejestr Szkół i Placówek Oświatowych ............................................................................................... 9.4. Przekazywanie danych do bazy danych SIO .................................................................................... 9.5. Dostęp do bazy danych Systemu Informacji Oświatowej ........................................................... 9.6. Nadzór nad bezpieczeństwem przekazywania i pozyskiwania danych z bazy SIO ........... 9.7. Przechowywanie danych w bazach SIO ............................................................................................ 10. Problematyka dostępu do informacji publicznej w jednostkach oświaty ............................. 10.1. System informacji publicznej ................................................................................................................ 10.2. Nowelizacja przepisów z 2011 r. ........................................................................................................... 10.3. Ograniczenia prawa dostępu do informacji publicznej ............................................................... 10.4. Stosowanie ustawy o dostępie do informacji publicznej w szkole .......................................... 10.4.1. Rodzaje informacji publicznych udostępnianych w szkole .......................................... 10.4.2. Obowiązki dyrektora szkoły ...................................................................................................... 10.4.3. Postępowanie w sprawie wywołanej wnioskiem o udostępnieniem informacji publicznej ....................................................................................................................................... 10.4.3.1. Odwołanie od decyzji ............................................................................................... 10.4.3.2. Opłaty ............................................................................................................................. 10.5. Odpowiedzialność karna ........................................................................................................................ 10.6. Biuletyn Informacji Publicznej ............................................................................................................... 10.7. Wzory dokumentów z zakresu dostępu do informacji publicznej ........................................... 11. Przepisy prawne .................................................................................................................................................. 11.1. Ustawa z 29.8.1997 r. o ochronie danych osobowych .................................................................. 11.2. Rozporządzenie MSWiA z 11.12.2008 r. ............................................................................................. 11.3. Rozporządzenie MSWiA z 29.4.2004 r. ................................................................................................ 111 111 113 115 131 143 143 146 151 152 157 161 164 167 167 171 171 174 175 178 179 182 183 183 184 184 193 193 220 228 IV Wykaz autorów dr Adam Balicki – prawnik, historyk, archiwista, absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II w Lublinie oraz Wydziału Nauk Humanistycznych tejże uczelni. Ukończył kurs kwa- lifikacyjny z zakresu organizacji i zarządzania oświatą. Egzaminator Okręgowej Ko- misji Egzaminacyjnej w Krakowie w zakresie egzaminu maturalnego z historii i wie- dzy o społeczeństwie oraz egzaminu zawodowego w zawodzie technik administracji i  technik ochrony fizycznej osób i  mienia. Adiunkt w  Katedrze Prawa Cywilnego i  Postępowania Cywilnego na Wydziale Zamiejscowym Nauk Prawnych i  Ekono- micznych KUL w Tomaszowie Lubelskim oraz nauczyciel dyplomowany w Zespole Szkół Zawodowych i Ogólnokształcących w Biłgoraju. Autor kilkudziesięciu publi- kacji naukowych, komentarzy i poradników z zakresu prawa oświatowego, cywilne- go oraz historii. Wykładowca na kursach kwalifikacyjnych z  zakresu organizacji i zarządzania oświatą oraz licznych szkoleniach i warsztatach dla nauczycieli i kadry kierowniczej oświaty dotyczących prawa oświatowego i prawa w oświacie (w tym w zakresie ochrony danych osobowych w szkole). Autor rozdziałów 1–9.3, a także 9.5–10 książki „Ochrona danych osobowych w jednostkach oświaty”. Michał Łyszczarz – współautor komentarza do ustawy o  systemie oświaty, autor szeregu publikacji z zakresu prawa oświatowego, obecnie zatrudniony w Wydziale Nadzoru Prawnego Śląskiego Urzędu Wojewódzkiego. Autor podrozdziału 9.4 książki „Ochrona danych osobowych w jednostkach oświaty”. Karolina Woźniczko – absolwent Wydziału Prawa i  Administracji Uniwersytetu Warszawskiego, radca prawny, członek Okręgowej Izby Radców Prawnych w War- szawie. Pracownik Ministerstwa Pracy i Polityki Społecznej. W kręgu jej szczegól- nych zainteresowań znajduje się prawo pracy i prawo oświatowe. Autorka licznych opracowań i  artykułów na temat prawa pracy, indywidualnego jak i  zbiorowego, a także prawa oświatowego. Autor rozdziału 10 książki „Ochrona danych osobowych w jednostkach oświaty”. V Wykaz skrótów art. ............................................. artykuł Dz.U. ......................................... Dziennik Ustaw GIODO .................................... Generalny Inspektor Ochrony Danych Osobowych InPubU .................................... ustawa z 6.9.2001 r. o dostępie do informacji publicz- nej (Dz.U. Nr 112, poz. 1198 ze zm.) JST ............................................ jednostka samorządu terytorialnego KC ............................................. ustawa z 23.4.1964 r. – Kodeks cywilny (Dz.U. Nr 16, poz. 93 ze zm.) KK ............................................. ustwa z  6.6.1997  r. – Kodeks karny (Dz.U. Nr  88, poz. 553 ze zm.) KPA .......................................... ustawa z 14.6.1960 r. – Kodeks postępowania admi- nistracyjnego (t.j. Dz.U. z 2013 r., poz. 267) KP ............................................. ustawa z  26.6.1974  r. – Kodeks pracy (t.j. Dz.U. z 1998 r. Nr 21, poz. 94 ze zm.) OchrDanU ............................... ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm.) pkt ............................................. punkt SIO ............................................ System Informacji Oświatowej SN ............................................. Sąd Najwyższy SysOśwU .................................. ustawa z  7.9.1991  r. o  systemie oświaty (t.j. Dz.U. z 2004 r. Nr 2004 r. Nr 256, poz. 2572 ze zm.) NSA .......................................... Naczelny Sąd Administracyjny WSA ......................................... wojewódzki sąd administracyjny ze zm. ........................................ ze zmianami VII Wprowadzenie Ochrona danych osobowych w szkołach i placówkach oświatowych stanowi niezwy- kle ważną problematykę. Ze względu na specyfikę pracy szkoły przetwarzane są w niej dane osobowe uczniów, nauczycieli, jak również rodziców. Przetwarzanie to odbywa się w  sposób tradycyjny, a  także za pomocą systemów informatycznych. Wymusza to na dyrektorze szkoły, jako administratorze danych osobowych w kiero- wanej przez niego placówce, zastosowanie właściwych zabezpieczeń, tak technicz- nych, jak i organizacyjnych. Kontrole Głównego Inspektora Ochrony Danych Oso- bowych w  szkołach i  placówkach oświatowych wskazują, że przepisy dotyczące ochrony danych osobowych, niejednokrotnie nie były przestrzegane, co wiązało się z  poważnymi konsekwencjami wobec kierujących tymi placówkami dyrektorów. Sprawy ochrony danych osobowych w szkołach są często przedmiotem decyzji i wy- stąpień Głównego Inspektora Danych Osobowych. Świadczy to o tym, że znajomość przepisów ustawy o ochronie danych osobowych, jak również wydanych na jej pod- stawie aktów wykonawczych w  szkołach i  placówkach oświatowych nie jest po- wszechna. Jest to zrozumiałe, gdyż w  gąszczu ciągle zmieniających się przepisów prawa oświatowego zagadnienia te mogą zostać przeoczone. Znajomość zasad ochrony danych osobowych wymusza również wprowadzenie no- wego Systemu Informacji Oświatowej. Specyfika przetwarzanych przy tej okazji da- nych osobowych wymaga zachowania szczególnej ostrożności i właściwych proce- dur. Dlatego problematyka ta została w  sposób obszerny omówiona w  niniejszej publikacji. Ponadto przepisy prawa nakładają na każdego dyrektora szkoły i placówki opracowa- nie i wdrożenie odpowiedniej dokumentacji dotyczącej ochrony danych osobowych. Należy również zwrócić uwagę, że mimo tego, że administratorem danych osobo- wych w szkole jest jej dyrektor, i to on ponosi największą odpowiedzialność w przy- padku nieprzestrzegania przepisów dotyczących ochrony danych osobowych, to również każdy nauczyciel w  codziennej pracy ma do czynienia z  takimi danymi i powinien wiedzieć, w jaki sposób z nimi postępować. IX Wprowadzenie Niniejsza publikacja prezentuje omówienie najważniejszych przepisów dotyczących ochrony danych osobowych z uwzględnieniem specyfiki pracy szkoły. Ponadto znaj- dują się w niej wzory niezbędnej dokumentacji, jak również decyzje oraz wystąpienia Głównego Inspektora Ochrony Danych Osobowych dotyczące szkół i  placówek oświatowych. W publikacji wskazane zostały przesłanki dopuszczalności przetwa- rzania danych osobowych w  szkołach, rodzaje tych danych, wraz ze wskazaniem w jaki sposób należy z nimi postępować. Omówiona została również problematyka rejestracji baz danych osobowych w GIODO. Adam Balicki X 1. Regulacje prawne dotyczące ochrony danych osobowych 1.1. Podstawowe akty prawne regulujące ochronę danych osobowych w szkole i placówce oświatowej Podstawowym aktem prawnym regulujących ochronę danych osobowych jest usta- wa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm., dalej OchrDanU). Przywołana ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są prze- twarzane lub mogą być przetwarzane w zbiorze danych. Przepisy ustawy stosuje się do przetwarzania danych osobowych w: 1) kartotekach, 2) skorowidzach, 3) księgach, 4) wykazach, 5) zbiorach ewidencyjnych (różnego rodzaju), 6) systemach informatycznych, także w  przypadku przetwarzania danych poza zbiorem. OchrDanU znajduje zastosowanie w przypadku organów państwowych, organów samorządu terytorialnego oraz państwowych i komunalnych jednostek organiza- cyjnych. Zgodnie z  decyzją Głównego Inspektora Ochrony Danych Osobowych (dalej GIODO) z 1999 r. jednostki komunalne wykonujące w imieniu gminy zadania, które mają na celu zaspokajanie potrzeb społeczności lokalnej, stają się administratorami 1 1. Regulacje prawne dotyczące ochrony danych osobowych danych osobowych zgodnie z OchrDanU. Takimi podmiotami są szkoły i inne jed- nostki działające w systemie oświaty. Przepis art. 3a OchrDanU wyłącza stosowanie przepisów ustawy w stosunku do: 1) osób fizycznych, które przetwarzają dane wyłącznie w  celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w  państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Polski wyłącz- nie do przekazywania danych. Również w przypadku, gdy przepisy odrębnych ustaw, które odnoszą się do przetwa- rzania danych, przewidują dalej idącą ochronę niż wynika to z OchrDanU zastoso- wanie będą miały właśnie te przepisy. OchrDanU ma ograniczone zastosowanie w przypadku zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub związanych z edukacją w szkołach wyższych. Dane takie, po ich wykorzystaniu, są niezwłocznie usuwane lub poddawane anonimizacji. W praktyce szkolnej będą to wszelkie listy wpłat uczestników wycieczek itp., prowadzone przez wychowawcę klasy poza obowiązkową dokumentacją szkolną. W stosunku do takich zbiorów da- nych stosuje się przepisy ustawy dotyczące ich zabezpieczania. Obok przepisów OchrDanU omawianą problematykę regulują akty wykonawcze do tej ustawy: 1) rozporządzenie Prezydenta Rzeczypospolitej Polskiej z 10.10.2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2011 r. Nr 225, poz. 1350), 2) rozporządzenie Ministra Spraw Wewnętrznych i  Administracji z  11.12.2008  r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspekto- rowi Ochrony Danych Osobowych (Dz.U. z 2008 r. Nr 229, poz. 1536), 3) rozporządzenie Ministra Spraw Wewnętrznych i  Administracji z  29.4.2004  r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków tech- nicznych i  organizacyjnych, jakim powinny odpowiadać urządzenia i  systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z  2004  r. Nr 100, poz. 1024), 4) rozporządzenie Ministra Spraw Wewnętrznych i  Administracji z  22.4.2004  r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z  2004  r. Nr 94, poz. 923). Rozporządzenie MSWiA z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych określa 2 1.2. Podstawowe pojęcia związane z ochroną danych osobowych wzór zgłoszenia zbioru danych do rejestracji GIODO, który stanowi załącznik do rozporządzenia. Natomiast rozporządzenie MSWiA z 29.4.2004 r. w sprawie dokumentacji przetwa- rzania danych osobowych oraz warunków technicznych i  organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określa: 1) sposób prowadzenia i  zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii da- nych objętych ochroną, 2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobo- wych, 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bez- pieczeństwa ich przetwarzania. Przepisy tego rozporządzenia nakładają na szkoły i placówki oświatowe obowiązek opracowania dwóch dokumentów: 1) polityki bezpieczeństwa danych osobowych, 2) instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 1.2. Podstawowe pojęcia związane z ochroną danych osobowych OchrDanU definiuje najważniejsze pojęcia związane z  ochroną danych osobo- wych. Definicje te muszą być stosowane w zakresie ochrony danych osobowych. Zgodnie z przywołaną regulacją za dane osobowe uważa się wszystkie informacje dotyczące: 1) zidentyfikowanej osoby, 2) osoby możliwej do zidentyfikowania. Osobą fizyczną jest każdy człowiek. Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamość może być określona bezpośrednio lub pośrednio. Identyfi- kacja taka może nastąpić poprzez: 1) powołanie się na numer identyfikacyjny, 2) jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjolo- giczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3 1. Regulacje prawne dotyczące ochrony danych osobowych Cechy te muszą być specyficzne dla danej osoby i  muszą jednoznacznie na nią wskazywać. Informacja nie będzie uważana za umożliwiającą określenie tożsamości osoby w przypadku, gdyby wymagało to nadmiernych: 1) kosztów, 2) czasu, 3) działań. Pojęcie zbioru danych zdefiniowane zostało w przepisie art. 7 pkt 1 OchrDanU. Zbiorem danych jest każdy posiadający strukturę zestaw danych o  charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zgodnie z przywołaną definicją zbiorem danych będzie każdy posiadający strukturę zestaw danych o ta- kich cechach jak: 1) charakter osobowy, 2) dostępność według określonych kryteriów, bez względu na to, czy jest rozproszo- ny czy podzielony funkcjonalnie. Ponadto zestaw danych, aby został uznany za zbiór danych, musi spełniać kumula- tywnie takie warunki jak: 1) zawierać dane osobowe, 2) posiadać określoną strukturę, 3) zapewniać dostęp do danych osobowych według określonych kryteriów1. Dane osobowe w zbiorze danych mogą być utrwalone w różny sposób: 1) obrazem, 2) słowem, 3) dźwiękiem2. Ze zbiorem danych mamy do czynienia również w  sytuacji, gdy znajdują się tam dane tylko jednej osoby, np. ucznia. Ażeby uznać określony zbiór danych za zbiór danych osobowych w rozumieniu OchrDanU, w skład zbioru danych musi wchodzić więcej niż jedna informacja. Cechą, która odróżnia zbiór danych osobowych od in- nych zbiorów, będzie istnienie jednej lub kilku cech pozwalających na odnalezienie w zbiorze szukanej informacji bez potrzeby przeglądania całego zestawu3. Cechą zbioru danych osobowych jest jego dostępność. Dlatego jeżeli dotarcie do poszukiwanych danych w zbiorze będzie możliwe, ale jednocześnie znacznie utrud- 1 M. Sakowska, Pojęcie „zbiór danych” na gruncie ustawy o ochronie danych osobowych, Państwo i Prawo 2003, z. 2, s. 57. 2 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 391. 3 A. Mednis, Ustawa ..., s. 106. 4 1.2. Podstawowe pojęcia związane z ochroną danych osobowych nione, nie będziemy mieli do czynienia ze zbiorem danych osobowych, zgodnie z OchrDanU. GIODO w sprawozdaniu za 2000 r. uznał, że zapis obrazu zarejestrowanego przez kamery służące do monitoringu miasta nie stanowi zbioru danych osobowych. Ana- logicznie można stwierdzić, że podobne zapisy obrazu przez monitoring szkolny również nie będą spełniały warunku dostępności z  punktu widzenia przepisów OchrDanU. Za przetwarzanie danych osobowych, zgodnie z przepisami OchrDanU, uważa się wszelkie operacje, które wykonywane są na danych osobowych. W  szczególności możemy zaliczyć do nich: 1) zbieranie danych osobowych, 2) utrwalanie danych osobowych, 3) przechowywanie danych osobowych, 4) opracowywanie danych osobowych, 5) zmienianie danych osobowych, 6) udostępnianie danych osobowych, 7) usuwanie danych osobowych. Za przetwarzanie danych osobowych uważa się w szczególności te operacje, których dokonuje się w systemach informatycznych. Przy ocenie, czy dana czynność może być zakwalifikowana jako zbieranie danych osobowych, należy ocenić, w jakim celu dana osoba wchodzi w posiadanie określo- nych danych osobowych. W  przypadku, gdy celem jest wyłącznie zapoznanie się z informacjami, bez zamiaru ich dalszego przetwarzania, takich czynności nie będzie można zaliczyć jako przetwarzanie danych osobowych. Jeżeli jednak następuje dal- sze przetwarzanie zebranych danych należy przyjąć, że doszło do przetwarzania da- nych osobowych4. Nie jest również konieczne, aby osoba, która dane zbiera, znała ich treść. Wystarcza- jące jest, aby weszła w ich posiadanie z zamiarem ich dalszego przetwarzania. Wów- czas również mamy do czynienia z przetwarzaniem danych osobowych5. System informatyczny na gruncie OchrDanU został zdefiniowany jako zespół współpracujących ze sobą: 1) urządzeń, 2) programów, 4 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 115. 5 Tamże, s. 115–116. 5 1. Regulacje prawne dotyczące ochrony danych osobowych 3) procedur przetwarzania informacji i  narzędzi programowych, zastosowanych w celu przetwarzania danych osobowych. Szczególne miejsce przy przetwarzaniu danych osobowych odgrywa zabezpiecze- nie danych w systemie informatycznym. Jako takie zabezpieczenie przepisy Ochr- DanU wskazują wdrożenie i eksploatację stosownych środków technicznych i or- ganizacyjnych zapewniających ochronę danych przed ich nieusprawiedliwionym przetwarzaniem. Przy przetwarzaniu danych osobowych ważną czynnością jest ich usuwanie. Przez usuwanie danych osobowych rozumie się: 1) zniszczenie danych osobowych, 2) modyfikację danych osobowych w ten sposób, że nie będzie możliwe ustalenie tożsamości osoby, której dotyczą. Pierwsza z wymienionych czynności polegać będzie na definitywnym i bezpowrotnym usunięciu danych osobowych lub fizycznym zniszczeniu nośnika, na którym dane były przechowywane. Czynności te mają doprowadzić do niemożliwości odtworzenia da- nych. Drugi sposób usuwania danych osobowych to ich anonimizacja. Anonimizacja danych polega na dokonaniu takich operacji na danych osobowych, w wyniku których nie będzie możliwe rozpoznanie osoby, której dane dotyczą. Najczęściej odbywa się ona poprzez usunięcie części danych. W odróżnieniu od usunięcia danych lub znisz- czenia ich nośników anonimizacja skutkuje możliwością dalszego dokonywania ope- racji na ich części. Nie będą one jednak umożliwiały zidentyfikowania tożsamości konkretnej osoby6. Zgodnie z  przepisami OchrDanU za przetwarzanie danych osobowych w  danej jednostce odpowiedzialny jest administrator danych. Administratorem danych osobowych jest: 1) organ, 2) jednostka organizacyjna, 3) podmiot, 4) osoba – decydująca o celach i środkach przetwarzania danych osobowych. Administrator danych osobowych łączy w sobie dwa uprawnienia: 1) decyduje o celach przetwarzania danych osobowych, 2) decyduje o środkach przetwarzania danych osobowych. W szkole administratorem danych osobowych jest zawsze jej dyrektor. Sprawuje on władztwo oraz kontrolę nad przetwarzanymi danymi osobowymi. Dyrektor będzie również administratorem danych osobowych w  sytuacji, gdy szkoła lub 6 Tamże, s. 123. 6 1.2. Podstawowe pojęcia związane z ochroną danych osobowych placówka oświatowa powierzy prowadzenie dziennika elektronicznego zewnętrz- nemu podmiotowi w drodze umowy. Nawet w sytuacji, gdy na mocy tejże umowy, dyrektor szkoły nie będzie miał fizycznej styczności z danymi osobowymi od etapu ich zebrania, aż do ich usunięcia, to i tak będzie mu przysługiwał status wspomnia- nego administratora danych osobowych – o ile będzie decydował o celach i środ- kach przetwarzania danych. Podmiot, któremu powierzono przetwarzanie danych w drodze umowy: 1) może przetwarzać dane wyłącznie w zakresie i celu określonym w umowie, 2) jest zobowiązany podjąć środki zabezpieczające zbiór danych oraz spełnić wy- magania określone przepisami prawa. Zgodnie z  postanowieniem Sądu Najwyższego z  11.12.2001  r. (sygn. akt II KKN 438/00) rozróżnione zostało pojęcie administratora danych osobowych od admini- strującego danymi osobowymi. Zgodnie z przywołanym postanowieniem, za admi- nistratora danych osobowych można uznać taki podmiot, który decyduje o środkach i  celach przetwarzania danych osobowych. Administrującym danymi osobowymi jest natomiast taki podmiot, który zarządza, zawiaduje danymi lub zbiorem danych osobowych. Z powyższego wynika, że administratorem danych osobowych w szkole będzie za- wsze jej dyrektor, gdyż: 1) podejmuje on samodzielnie decyzje dotyczące celów i środków użytych do prze- twarzania danych osobowych, 2) jest odpowiedzialny za bezpieczeństwo danych osobowych, 3) ponosi odpowiedzialność za naruszenie przepisów o  ochronie danych osobo- wych. Statusu administratora danych osobowych w  szkołach i  placówkach oświatowych nie posiadają jednostki obsługi ekonomiczno-administracyjnej szkół i  placówek. Jednostki te przetwarzają dane osobowe na zlecenie administratora danych. Spoczy- wają więc na nich tylko obowiązki nałożone na podmioty, którym administrator powierzył w drodze umowy przetwarzanie danych osobowych. Przetwarzanie danych osobowych musi być oparte na określonych przesłankach. Są nimi uprawnienia lub obowiązki wynikające z przepisów prawa lub zgoda oso- by, której dane są przetwarzane. Z tymi dwoma przesłankami będziemy mieli do czynienia w przypadku przetwarzania danych osobowych przez szkoły i placówki oświatowe. Zgodnie z definicją zgody osoby, której dane dotyczą, zawartą w OchrDanU, za taką zgodę rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda taka nie może być domnie- 7
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Ochrona danych osobowych w jednostkach oświaty
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: