Przewodnik po ochronie danych osobowych

Transkrypt

1 Dariusz Skrzyński Przewodnik po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej

2 Przewodnik po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej Dariusz Skrzyński

3 Autor: Dariusz Skrzyński Redaktor prowadzący: Wioleta Szczygielska Wydawca: Weronika Wota Korekta: Zespół Projekt okładki: Magdalena Huta Skład i łamanie: IGAWA Ireneusz Gawliński Druk: Miller Druk sp. z o.o. Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, Warszawa tel.: , faks: Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i ich tytułach. Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach, podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpowszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło. Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyjny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją. Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wydawca ani Redakcja nie świadczy żadnych usług prawnych. Nie mogą być one również traktowane jako oficjalne stanowisko organów i urzędów państwowych. Zastosowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji lub opinii prawnej. Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzialności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informacji zawartych w tych materiałach.

4 Spis treści CZĘŚĆ I OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r Regulacje prawne dotyczące ochrony danych osobowych Dane osobowe Dane osobowe zwykłe Dane osobowe wrażliwe Przetwarzanie danych osobowych Definicja przetwarzania danych osobowych Dopuszczalność przetwarzania Przesłanki legalności przetwarzania danych Katalog danych osobowych przetwarzanych przez placówki oświatowe Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie Dane osobowe pracowników szkoły i przedszkola Dane osobowe rodziców i uczniów przetwarzane na podstawie ustawy o systemie oświaty i jej aktów wykonawczych Powierzenie przetwarzania danych osobowych Dokumentacja związana z przetwarzaniem danych osobowych Rodzaj dokumentacji związanej z przetwarzaniem danych osobowych w szkole Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym Upoważnienia dla pracowników Ewidencja upoważnień Umowy powierzenia przetwarzania danych osobowych Zbiór danych osobowych Definicja zbioru danych osobowych Wykaz zbiorów danych osobowych w placówkach oświatowych Rejestracja zbiorów danych osobowych w GIODO Obowiązek rejestrowania zbiorów danych osobowych Zwolnienie z obowiązku rejestracji zbioru danych pracowników szkoły/przedszkola

5 Spis treści 7.3. Zwolnienie z obowiązku rejestracji zbioru danych uczniów/wychowanków Zwolnienie z obowiązku rejestracji zbioru danych rodziców uczniów Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej Zwolnienie z obowiązku rejestracji zbioru danych powszechnie dostępnych Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego Zwolnienie z obowiązku rejestracji zbioru danych, jeżeli został powołany i zgłoszony ABI Zwolnienie z obowiązku rejestracji zbioru danych prowadzonych bez wykorzystania systemów informatycznych Procedura rejestrowania zbiorów danych osobowych w GIODO Elementy zgłoszenia zbioru danych do rejestracji GIODO Administrator danych osobowych (ADO) Dyrektor jako administrator danych osobowych Administrator danych osobowych a jednostki obsługi ekonomiczno-administracyjnej Administrator danych osobowych a umowa na przetwarzanie danych Obowiązki administratora danych osobowych Obowiązki informacyjne Administrator bezpieczeństwa informacji (ABI) Możliwość powołania ABI Rejestrowanie ABI Kwalifikacje ABI Zadania ABI Sprawdzanie przestrzegania przepisów Nadzorowanie dokumentacji Szkolenia dla pracowników Prowadzenie rejestru zbioru danych przez ABI Zasady prowadzenia rejestru zbioru danych Środki zapewniające ochronę przetwarzanych danych osobowych Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych Rodzaje odpowiedzialności związanej z przetwarzaniem danych osobowych Odpowiedzialność karna za naruszenie ustawy o ochronie danych osobowych Bezprawne przetwarzanie danych osobowych w zbiorze Udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym Naruszenie obowiązku zabezpieczenia danych Naruszenie obowiązku rejestracji zbiorów danych w GIODO

6 Spis treści Niedopełnienie obowiązku informacyjnego przez administrującego danymi osobowymi Udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej Zasady kontroli przetwarzania danych osobowych przez GIODO Kontrola GIODO Zadania GIODO Uprawnienia kontrolne GIODO Uprawnienia inspektora Obowiązki inspektora Obowiązki kontrolowanego Legitymacja i upoważnienie Termin i czas kontroli Miejsce kontroli Dokumentowanie czynności kontrolnych Uprawnienia pokontrolne Wyniki kontroli GIODO w szkołach i placówkach Udostępnianie danych osobowych nauczycieli i rodziców Udostępnianie danych osobowych uczniów Zakres danych przetwarzanych przez szkoły i placówki CZĘŚĆ II SZCZEGÓLNE PRZYPADKI OCHRONY DANYCH OSOBOWYCH Ochrona danych osobowych a system informacji oświatowej Ochrona danych osobowych a e-dziennik Ochrona danych osobowych a dostęp do informacji publicznej Ochrona danych osobowych a ochrona informacji niejawnych Ochrona danych osobowych a jawność wynagrodzeń pracowników Podstawa prawna ochrony informacji o wynagrodzeniu pracownika Informacja o wynagrodzeniu jako dana osobowa Niejawność informacji o wynagrodzeniu Ujawnianie informacji o wynagrodzeniu osób pełniących funkcje publiczne Udostępnianie informacji o wynagrodzeniu w orzecznictwie Informacja o wynagrodzeniu osób niepełniących funkcji publicznych Ochrona danych osobowych a strona internetowa placówki oświatowej Udostępnianie danych osobowych w Internecie Publikowanie danych osobowych za zgodą Publikowanie danych osobowych bez zgody Publikowanie zdjęć (rozpowszechnianie wizerunku) Kontakty z mediami a ochrona danych osobowych Monitoring wizyjny a ochrona danych osobowych Miejsca objęte monitoringiem Przechowywanie i udostępnianie nagrań z monitoringu szkolnego Monitorowanie pracowników

7 Spis treści Wyłudzanie danych osobowych uczniów i rodziców Działalność firm komercyjnych w szkole Zgoda rodziców na gromadzenie danych osobowych uczniów Ochrona danych osobowych a noszenie identyfikatora z imieniem i nazwiskiem Ochrona danych osobowych a procedura weryfikowania danych osobowych kredytobiorców Ochrona danych osobowych a upoważnienia do odbioru dzieci przez osobę inną niż rodzice Ochrona danych osobowych a udzielanie informacji o dziecku innym osobom niż rodzic Ochrona danych osobowych a uchwały rady pedagogicznej Ochrona danych osobowych a działalność pielęgniarki szkolnej Ochrona danych osobowych byłego pracownika Ochrona danych osobowych a wgląd do dokumentacji szkolnej Ochrona danych osobowych a profil szkoły na Facebooku Ochrona danych osobowych a filmowanie lekcji Ochrona danych osobowych a nagrywanie rozmów Ochrona danych osobowych a udostępnienie arkusza organizacyjnego szkoły związkom zawodowym Ochrona danych osobowych a zakładowy fundusz świadczeń socjalnych Ochrona danych osobowych a dane umieszczane w protokole powypadkowym Ochrona danych osobowych a ich udostępnianie księżom w parafii Ochrona danych osobowych a wywiadówki szkolne Ochrona danych osobowych a dziennik lekcyjny Ochrona danych osobowych a przekazywanie danych em Ochrona danych osobowych a dziennik nauczania indywidualnego Ochrona danych osobowych a dokumentacja poradni psychologiczno-pedagogicznej Ochrona danych osobowych a ankiety szkolne Ochrona danych osobowych a NNW na wycieczkach Ochrona danych osobowych a zbiory danych praktykantów i wolontariuszy Ochrona danych osobowych a skarga na szkołę CZĘŚĆ III DOKUMENTACJA Zgoda na przetwarzanie danych osobowych (1) Zgoda na przetwarzanie danych osobowych (2) Zgoda na przetwarzanie danych osobowych (3) Cofnięcie zgody na przetwarzanie danych osobowych Umowa powierzenia przetwarzania danych osobowych Zarządzenie dyrektora w sprawie dokumentacji przetwarzania danych osobowych Oświadczenie zbiorcze pracowników w sprawie ochrony danych osobowych.. 132

8 Spis treści 54. Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Indywidualny zakres obowiązków nałożonych na użytkownika systemu informatycznego przetwarzającego dane osobowe Upoważnienie do przetwarzania danych osobowych (1) Upoważnienie do przetwarzania danych osobowych (2) Upoważnienie do przetwarzania danych osobowych (3) Procedura nadawania i zmiany uprawnień do przetwarzania danych osobowych Ewidencja osób upoważnionych do przetwarzania danych osobowych Zgłoszenie zbioru danych do rejestracji GIODO Informacja o przetwarzaniu danych osobowych dla rodziców i opiekunów dzieci/pracowników/stażystów/praktykantów Akt powołania administratora bezpieczeństwa informacji Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji GIODO Zgłoszenie odwołania administratora bezpieczeństwa informacji do rejestracji GIODO Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych Procedury wykonywania przeglądów i konserwacji systemu informatycznego Formy naruszenia ochrony danych osobowych Podstawowa lista kontrolna przestrzegania ochrony danych osobowych Raport z naruszenia zabezpieczenia danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych Zgoda na wykorzystanie wizerunku dziecka Zgoda na wykorzystanie wizerunku nauczyciela/pracownika Wniosek do dyrektora o zgodę na przetwarzanie danych osobowych uczestników wycieczki poza teren szkoły Zgoda na przetwarzanie danych osobowych uczestników wycieczki szkolnej poza teren szkoły CZĘŚĆ IV AKTY PRAWNE Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. z 2014 r. poz. 1934)

9 78. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719) Art. 81 ustawy o prawie autorskim i prawach pokrewnych

10 CZĘŚĆ I OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH

11

12 1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. Funkcje opiekuńczo-wychowawczo-dydaktyczne to niejedyne zadania jednostek oświatowych. Działalność każdego przedszkola, szkoły i placówki podlega także przepisom ustawy z 9 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.) dalej: uodo. W rozumieniu art. 7 pkt 4 uodo są one administratorami danych osobowych, zaś za prawidłowe stosowanie i przestrzeganie obowiązujących regulacji odpowiada dyrektor decydujący o celach i środkach przetwarzania danych osobowych. W ramach tych obowiązków dyrektor jest przede wszystkim zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Musi zapewnić też opracowanie dokumentów polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym oraz ich przestrzeganie, a także zgłosić do Generalnego Inspektora Ochrony Danych Osobowych niektóre zbiory danych przetwarzane w jego jednostce. Dyrektor i pracownicy powinni też wiedzieć, które dane osobowe placówka może gromadzić wprost na podstawie przepisów ustawy, a które może pozyskiwać i przetwarzać tylko za zgodą. Vademecum omawia zakres danych osobowych, które jednostka może pozyskiwać, oraz zasady ich ochrony w kontekście najnowszych zmian. Od 1 stycznia 2015 r. obowiązują znowelizowane przepisy ustawy o ochronie danych osobowych, wprowadzone ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662). Zmiany dotyczą: statusu administratora bezpieczeństwa informacji (ABI), jego pozycji, kompetencji i obszarów działania, obowiązków administratora danych osobowych (ADO), polegających na zgłaszaniu do rejestracji zbiorów danych oraz wyznaczonego ABI, kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO). 11

13 Przewodnik po ochronie danych osobowych Tabela 1. Wykaz zmian w ustawie o ochronie danych osobowych wprowadzonych od 1 stycznia 2015 r. Powołanie ABI w szkole Skreślony został art. 36 ust. 3 uodo, a w jego miejsce pojawiły się art. od 36a do 36c, które w sposób kompleksowy normują pozycję i kompetencje administratora bezpieczeństwa informacji. ABI może powołać administrator danych (art. 36a ust. 1 uodo). Ma on prawo powołać również zastępców ABI. Wyznaczenie ABI nie jest obowiązkowe jeśli w szkole takiej osoby nie będzie, zadania określone w art. 36a ust. 2 pkt 1 uodo, czyli związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, z wyłączeniem obowiązku sporządzania sprawozdania, wykonywać ma administrator danych (art. 36b uodo). Dyrektor powinien zdecydować, czy powołać ABI, czy też samodzielnie zapewniać przestrzeganie zasad ochrony danych osobowych. Kwalifikacje ABI Zadania ABI Nowości przy rejestracji zbiorów danych W dotychczasowych przepisach nie było postanowień określających status administratora bezpieczeństwa informacji. Po nowelizacji określa je art. 36a uodo. Ma to być osoba m.in. posiadająca wiedzę w zakresie ochrony danych osobowych, czyli odpowiednio przygotowana i dająca rękojmię należytego wykonywania funkcji. Dotychczas funkcję ABI często powierzano osobie, która pełniła już inne obowiązki, np. zastępcy dyrektora szkoły, sekretarce czy nauczycielowi informatyki. Zapewnienie środków i organizacyjnej odrębności ABI, niezbędnych do niezależnego wykonywania przez niego zadań, jest obowiązkiem administratora danych. Zgodnie z art. 36a ust. 2 pkt 1 uodo do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ich ochronie oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo, oraz przestrzegania zasad w niej określonych, zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Nowym obowiązkiem administratora bezpieczeństwa informacji jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 uodo, czyli zwolnionych z obowiązku zgłoszenia do rejestracji. Rejestr zbiorów prowadzonych przez ABI ma zawierać: nazwy zbiorów oraz informacje, o których mowa w art. 41 ust. 1 pkt 2 4a i 7 uodo, a więc zwykle charakteryzujące zbiór przy rejestracji, zawarte w zgłoszeniu zbioru do rejestracji. Rejestr ten jest jawny i każdy ma prawo go przeglądać. Tryb i sposób realizacji zadań ABI oraz sposób prowadzenia przez niego rejestru zbiorów danych regulowany jest rozporządzeniem. Podstawową nowością w zakresie rejestracji zbiorów jest niezgłaszanie GIODO tych zbiorów administratora danych, które zarejestrowane są lokalnie przez ABI. Ponieważ jednak z art. 43 ust. 1a uodo wynika, że obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go GIODO do rejestracji (z zastrzeżeniem art. 46e ust. 2 uodo), niezgłaszanie zbiorów jest ograniczone, bo: zwolnienie z rejestracji GIODO dotyczy tylko przypadków prowadzenia rejestru przez zarejestrowanego ABI, jeśli w zbiorach przetwarzane są dane wrażliwe, to zarejestrowanie u ABI nie wystarczy, bo i tak trzeba wypełnić obowiązek zgłoszenia GIODO, 12

14 Część I Ogólne zasady ochrony danych osobowych Nowości przy rejestracji zbiorów danych Rejestr ABI Rozszerzenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w przypadku ABI ponownie zgłoszonego (po uprzednim wykreśleniu) do rejestru administratorów bezpieczeństwa informacji zwolnienie z obowiązku rejestracji stosuje się dopiero po wpisaniu zgłoszonego ABI do tego rejestru. Powołanie w szkole ABI wiąże się z koniecznością zgłoszenia tej osoby do rejestracji. Zgodnie z przepisami ustawy o ochronie danych osobowych GIODO ma prowadzić ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, do którego dyrektorzy szkół będą zgłaszać wyznaczonych przez siebie ABI. Wzory zgłoszeń powołania i odwołania zostały określone w rozporządzeniu. Na podstawie art. 46b uodo administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie lub odwołanie administratora bezpieczeństwa informacji w terminie 30 dni. Ustawa określa również zakres zgłaszanych informacji. Zgłoszenie powołania ABI do rejestracji powinno zawierać: oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; dane administratora bezpieczeństwa informacji: imię i nazwisko, numer PESEL lub gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; datę powołania; oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7. Zgłoszenie odwołania natomiast powinno ponadto zawierać datę i przyczynę odwołania. Administrator danych jest także zobowiązany w terminie 14 dni zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa w art. 46b ust. 2 uodo. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania ABI. Na żądanie ABI lub administratora danych GIODO wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. Do celów dokumentacyjnych i dowodowych rekomenduje wystąpienie do GIODO o wydanie tego zaświadczenia. Znowelizowana ustawa o ochronie danych osobowych określa także zasady wykreślania ABI z rejestru. Warto przy tym pamiętać, że po wykreśleniu konieczne będzie zgłoszenie do rejestracji GIODO tych zbiorów, które dotychczas korzystały ze zwolnienia wynikającego z funkcjonowania w szkole administratora bezpieczeństwa informacji. Administrator bezpieczeństwa informacji co najmniej raz w roku powinien przeprowadzić sprawdzenie zgodności przetwarzania danych osobowych w jednostce z przepisami. Z tego narzędzia korzystać ma przede wszystkim administrator danych ma mu ono służyć do uzyskania wiedzy o stanie ochrony danych osobowych w placówce. Z instytucji tej jednak skorzysta też GIODO, dla którego sprawdzenie prowadzone przez ABI może być wsparciem w działalności kontrolnej. Poprzez ten instrument GIODO zyskuje bowiem kontakt z podmiotem (ABI), który z uwagi na swą niezależność i profesjonalizm zapewnia wysoki poziom współpracy. W art. 36c uodo określono elementy sprawozdania opracowanego w wyniku sprawdzenia. Zgodnie z dodanym do ustawy o ochronie danych osobowych art. 19b GIODO może zwrócić się do ABI o sprawdzenie u administratora danych, który go 13

15 Przewodnik po ochronie danych osobowych Rozszerzenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO) powołał, zgodności przetwarzania danych osobowych z przepisami, wskazując jego zakres i termin. Po dokonaniu tego sprawdzenia ABI za pośrednictwem administratora danych, czyli w szkole/przedszkolu za pośrednictwem jej dyrektora przedstawia GIODO sprawozdanie, takie jakie zwykle sporządzać ma dla administratora danych. Sprawdzenie to ma mieć m.in. charakter prewencyjny i w efekcie ma oddalać ewentualną kontrolę w danej placówce przez GIODO. Ustawa przewiduje jednak, że przeprowadzenie sprawdzenia przez ABI na żądanie GIODO nie wyklucza prawa Generalnego Inspektora do przeprowadzenia kontroli. Nowe uregulowania będą miały wpływ na kształt systemu ochrony danych osobowych u każdego administratora danych, dotyczą więc również placówek oświatowych zobowiązanych do stosowania przepisów ustawy o ochronie danych osobowych. Nowelizacja może oznaczać konieczność zmian w dotychczasowej dokumentacji. Bez względu na to, czy dyrektor zdecyduje się powołać ABI, czy też nie, zasadna jest analiza prowadzonej dokumentacji techniczno-organizacyjnej, czyli Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Należy albo wprowadzić do nich postanowienia o powołaniu administratora bezpieczeństwa informacji i jego kompetencjach, albo zaznaczyć, że administrator danych nie powołuje ABI i samodzielnie zapewnia przestrzeganie przepisów o ochronie danych osobowych. Jeśli dyrektor szkoły zdecyduje się powołać ABI, powinien ten fakt udokumentować. Wyznaczenie administratora bezpieczeństwa informacji może nastąpić zarówno w drodze zarządzenia, jak i poprzez omówione już wprowadzenie w Polityce bezpieczeństwa odpowiednich postanowień, z których wynikać będzie, że osoba zajmująca dane stanowisko pełni tę funkcję. W związku z działalnością ABI w szkole pojawią się sprawozdania dokumentujące sprawdzanie przez niego zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto nowymi dokumentami będą kopie zgłoszeń powołania bądź odwołania ABI czy kopie zaświadczeń o zarejestrowaniu, wynikające z obowiązku zarejestrowania administratora bezpieczeństwa informacji u GIODO. Przetwarzanie danych osobowych w placówce oświatowej, niezależnie czy jest to placówka publiczna, czy niepubliczna, jest jednym z podstawowych procesów w niej zachodzących. Zebrane informacje, zarówno te dotyczące uczniów, wychowanków, jak i ich rodziców, stanowią fundament jej funkcjonowania. Ponadto stale rosnąca wśród społeczeństwa świadomość ochrony danych osobowych jest sygnałem dla podmiotów przetwarzających dane do szczególnego zwrócenia uwagi na tę kwestię. Dlatego też tak ważne jest to, aby proces ten był legalny, dostęp do danych mieli jedynie upoważnieni pracownicy, a wszystkie zebrane dane zostały należycie zabezpieczone. Obecnie obowiązujące przepisy zapewniają, w większości przypadków, skuteczną ochronę danych. Oczywiście zdarza się, że dyrektorzy czy nauczyciele nie znajdują odpowiedzi na nurtujące ich pytania w obowiązujących przepisach prawa. Dlatego materiał ten ma za zadanie usystematyzować kwestie związane z przetwarzaniem danych osobowych dzieci, wychowanków, ich rodziców, nauczycieli i pracowników niepedago- 14

16 Część I Ogólne zasady ochrony danych osobowych gicznych. Przejrzysta formuła ułatwi zaś zobrazowanie przepisów prawa obowiązujących w tym zakresie. Publikacja pozwoli: zaktualizować wiedzę dotyczącą danych osobowych i obowiązków spoczywających na dyrektorze w tym zakresie, poznać zakres zmian obowiązujących od 1 stycznia 2015 r. i sposób dostosowania dotychczasowych dokumentów, ustalić, czy każda placówka będzie musiała powołać administratora bezpieczeństwa informacji (ABI), a jeżeli tak, to jakie wymagania musi spełniać osoba sprawująca tę funkcję, poznać najczęściej popełnianie błędy, żeby wyeliminować je w swojej placówce. 2. Regulacje prawne dotyczące ochrony danych osobowych Zasada ochrony danych osobowych znajduje swoje źródło w ustawie zasadniczej w Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (Dz.U. z 1997 r. nr 78, poz. 483 ze zm.). W art. 47 i art. 51 gwarantuje ona każdemu prawo do ochrony życia prywatnego i zakłada, że zasady gromadzenia oraz udostępniania informacji o osobie określać ma akt prawny rangi ustawy. Założenie to zostało zrealizowane poprzez wydanie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.). Ustawa określa m.in., w jakich sytuacjach i jakie dane osobowe mogą podlegać przetwarzaniu, precyzuje wymogi stawiane administratorom danych, a także określa prawne konsekwencje naruszenia postanowień w niej zawartych. Zobacz treść ustawy na płycie CD Zakres podmiotów podlegających regulacjom ustawy o ochronie danych osobowych uodo został wskazany w art. 3 uodo. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Znajduje ona także zastosowanie do podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Oznacza to, że przepisy uodo będą stosowane także w działalności szkół oraz jednostek, które przetwarzają dane osobowe w ramach działalności na polu oświaty (np. organów prowadzących). Treść ustawy o ochronie danych osobowych została rozszerzona przez ustawodawcę o rozporządzenia wykonawcze. Na uwagę zasługuje kilka z nich: rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków tech- 15

17 Przewodnik po ochronie danych osobowych nicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) definiuje obszar przetwarzania i potrzebę oznaczania pomieszczeń, w których przetwarzane są dane osobowe, oraz określa trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych, zapewniające zachowanie poufności, integralności i rozliczalności danych; rozporządzenie ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. z 2008 r. nr 229, poz. 1536); rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934); rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) określa tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie; nadzorowania opracowania, aktualizowania przestrzegania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych; rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719). Trzy ostanie rozporządzenia związane są z nowelizacją ustawy obowiązującą od 1 stycznia 2015 r. Zobacz treść rozporządzeń na płycie CD Kwestie dotyczące ochrony danych osobowych normowane są także w innych aktach prawnych. O ile ustawa o ochronie danych osobowych w sposób ogólny normuje ochronę danych osobowych o tyle inne odnoszą się szczegółowo do kwestii tej ochrony w wybranych konkretnych dziedzinach działalności (np. art. 81 ustawy o prawie autorskim i prawach pokrewnych odnosi się do ochrony wizerunku). Wskazać przy tym trzeba, że placówki oświatowe objęte są zakresem działania ustawy o ochronie danych osobowych nie tylko jako podmioty realizujące określone zadania publiczne w zakresie oświaty, ale też jako pracodawcy. Zobacz treść art. 81 ustawy na płycie CD 16

18 3. Dane osobowe Część I Ogólne zasady ochrony danych osobowych Schemat 1. Rodzaje danych osobowych DANE OSOBOWE DANE OSOBOWE ZWYKŁE DANE OSOBOWE WRAŻLIWE 3.1. Dane osobowe zwykłe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne) art. 6 uodo. Danymi osobowymi są wszelkie informacje dotyczące osoby fizycznej, tj. informacje odnoszące się do wszystkich dziedzin jej życia (rodzinnego, zawodowego, aktywności pozazawodowej, stanu majątkowego itd.). Przepisy nie precyzują formy tych informacji, a zatem chodzi o dane wyrażone w jakiejkolwiek formie, tj. np. na piśmie, w nagraniu filmowym bądź dźwiękowym, na obrazie, w formie zapisu informatycznego. Forma, w której informacje o osobie zostały zawarte, nie ma znaczenia dla zakwalifikowania ich jako danych osobowych. Podstawowy warunek uznania informacji za dane osobowe jest taki, że ma ona zawierać w sobie wiedzę dotyczącą osoby fizycznej: już zidentyfikowanej, czyli konkretnej osoby o oznaczonej tożsamości, możliwej do zidentyfikowania, czyli tej, której tożsamość można ustalić (bezpośrednio lub pośrednio) w zestawieniu z innymi informacjami, dodatkowymi okolicznościami (wiedzą). Pojęcie danych osobowych dobrze zostało wyjaśnione przez Naczelny Sąd Administracyjny (wyrok NSA z 18 listopada 2009 r., OSK 667/09): Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bo mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację ( ). O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst), do jakich dostęp mają osoby trzecie. 17

19 Przewodnik po ochronie danych osobowych uwaga Jeżeli ustalenie tożsamości osoby na podstawie określonych informacji wymagałoby nadmiernych kosztów, czasu lub działań, to nie uważa się ich za dane osobowe. Danymi osobowymi będą zatem zarówno te informacje, które pozwalają na określenie tożsamości konkretnej osoby, jak i te, które nie umożliwiają jej natychmiastowej identyfikacji, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Danymi osobowymi będzie więc ta informacja, która pozwala na ustalenie tożsamości konkretnej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Nie będzie nimi zatem ta informacja, na podstawie której identyfikacja osoby wymaga nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań. Danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy, numer domu czy wysokość średniego wynagrodzenia w szkole. Nie zaliczymy do nich też informacji, które dotyczą osób prawnych, tj. urzędów, z którymi szkoła współpracuje, spółdzielni, od których placówka wynajmuje lokal, czy firm. Informacja będzie jednak danymi osobowymi, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji, którą można uznać za dane osobowe, jest numer PESEL, a jego przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych. Są nimi również imię i nazwisko, adres zamieszkania, data urodzenia, NIP, wykształcenie, zarobki oraz inne informacje dotyczące konkretnej osoby, za pomocą których będzie można ją zidentyfikować. Nie ma zamkniętego katalogu danych osobowych. Dlatego też przy rozstrzyganiu, czy określona informacja lub informacje to dane osobowe, w większości przypadków, nieunikniona jest zindywidualizowana ocena uwzględniająca konkretne okoliczności oraz rodzaj środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby. Dane osobowe odnoszą się wyłącznie do osób fizycznych, a ich ochrona przysługuje bez wyjątku każdemu, w tym również uczniom, dzieciom (wychowankom przedszkola). Ramka 1. Wykaz danych osobowych Za dane osobowe uczniów, wychowanków, rodziców, nauczycieli lub innych pracowników możemy uznać m.in.: imię i nazwisko, wizerunek, numer telefonu, adres , adres zamieszkania, filmy i zdjęcia z monitoringu jeśli możliwe jest przypisanie utrwalonych na taśmach (zdjęciach) wizerunków do konkretnych osób (np. dzieci, pracowników danej szkoły). 18

20 Część I Ogólne zasady ochrony danych osobowych 3.2. Dane osobowe wrażliwe Pojęcie danych osobowych nie ma jednorodnego charakteru. Wyróżniono bowiem dane o szczególnym charakterze, tzw. dane wrażliwe (delikatne, sensytywne), przeciwstawiane niekiedy tzw. danym zwykłym (pospolitym). W odniesieniu do danych wrażliwych wprowadzono bardziej intensywną ochronę, a ich przetwarzanie podlega odrębnym zasadom (art. 27 uodo). Ramka 2. Wykaz danych osobowych wrażliwych Za dane wrażliwe ustawa uznaje dane dotyczące: pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych (odnosi się to także do postawy ateistycznej lub agnostycznej, kategoria ta nie obejmuje natomiast zasad moralnych), przynależności wyznaniowej, partyjnej lub związkowej (także fakt nieprzynależności do organizacji i wystąpienia z niej), stanu zdrowia, kodu genetycznego, nałogów (w tym poddania się leczeniu odwykowemu lub przerwania go, uczestniczenia w grupach i organizacjach stawiających sobie za cel walkę z uzależnieniami), życia seksualnego, skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 4. Przetwarzanie danych osobowych 4.1. Definicja przetwarzania danych osobowych Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 uodo). Przykład Przetwarzaniem danych będzie zbieranie danych osobowych dzieci podczas procesu rekrutacji do przedszkola/szkoły, zapisywanie ich w dziennikach lekcyjnych, wprowadzanie do Systemu Informacji Oświatowej, umieszczanie informacji o laureatach konkursów na szkolnej stronie internetowej itp. 19

21 Przewodnik po ochronie danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które posiadają upoważnienie nadane przez administratora danych. Konieczna jest kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane. Musi być też prowadzona ewidencja osób upoważnionych do przesyłania danych. Istnieje wreszcie obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Udzielone upoważnienia do przetwarzania danych są odnotowane w ewidencji osób upoważnionych do ich przetwarzania, którą dyrektor szkoły również musi prowadzić. Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym Dopuszczalność przetwarzania Pod kątem podstawy przetwarzania należy rozpatrywać każdy konkretny zakres danych. Podstawę przetwarzania należy rozpatrywać zawsze w związaniu z celem przetwarzania. Administrator danych musi umieć wykazać się podstawą prawną przetwarzania danych (ciężar dowodu). Dane jednej osoby mogą być przetwarzane na różnych podstawach prawnych. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 uodo). W szczególności jest obowiązany zapewnić, aby były spełnione następujące przesłanki przetwarzania: legalności przetwarzane zgodnie z prawem (art. 23 lub 27 uodo), celowości przetwarzanie tylko w określonym, legalnym celu, czasowości przetwarzanie tylko do momentu osiągnięcia celu, merytorycznej poprawności w stosunku do celów, w jakich są przetwarzane, adekwatności przetwarzania tylko takiego zakresu danych, który jest niezbędny do osiągnięcia celu Przesłanki legalności przetwarzania danych Każdego rodzaju operacje dokonywane na danych osobowych, jak na przykład ich gromadzenie, przechowywanie, zmienianie czy nawet usuwanie, będące faktycznie ich przetwarzaniem, należy uzasadnić spełnieniem jednego z warunków zawartych w art. 23 uodo. 20

22 Część I Ogólne zasady ochrony danych osobowych Istnieje pięć przesłanek przetwarzania danych osobowych: zgoda danej osoby na wykorzystanie jej danych (w przypadku dzieci zgoda rodziców), realizacja obowiązków wynikających z przepisów prawa, realizacja umowy, działanie dla dobra publicznego, realizacja prawnie usprawiedliwionego celu administratora danych. Wzór: Zgoda na przetwarzanie danych osobowych (różne wersje) strony 123, 124, 125. Wzór: Cofnięcie zgody na przetwarzanie danych osobowych strona 126. Przetwarzanie danych osobowych wrażliwych jest możliwe, jeżeli zostaną spełnione wszystkie przesłanki z art. 27 ust. 2 uodo: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych. Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. Przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora. Jest to niezbędne do wykonania statutowych zadań Kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych. Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem. Przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie. Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może umożliwiać identyfikacji osób, których dane zostały przetworzone. 21

23 Przewodnik po ochronie danych osobowych Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Wymienione w art. 23 ust. 1 uodo przesłanki dopuszczalności przetwarzania danych osobowych są od siebie niezależne, co oznacza, że wystąpienie tylko jednej z nich przesądza o dopuszczalności przetwarzania danych osobowych. Dopuszczalność przetwarzania danych osobowych nie zawsze jest więc uzależniona od uzyskania na to zgody osoby, której dane mogą być przetwarzane. Artykuł 23 ust. 1 uodo, poza zgodą osoby, której dane dotyczą, wskazuje również inne okoliczności, które dopuszczają przetwarzanie danych osobowych. Jeśli nie zachodzi żadna z przesłanek wymienionych w art. 23 ust. 1 pkt 2 5 uodo, to przetwarzanie danych osobowych jest dopuszczalne po uzyskaniu na to zgody osoby, której dane dotyczą Katalog danych osobowych przetwarzanych przez placówki oświatowe Schemat 2. Katalog danych osobowych przetwarzanych w placówce oświatowej Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie Katalog danych osobowych przetwarzanych w placówce oświatowej Dane osobowe przetwarzane w związku ze stosunkiem pracy (nauczycieli i pracowników niebędących nauczycielami), w tym również dane gromadzone w związku z korzystaniem z zakładowego funduszu świadczeń socjalnych Dane osobowe przetwarzane na podstawie ustawy o systemie oświaty oraz aktów wykonawczych wydanych na jej podstawie Dane osobowe umieszczane na stronach internetowych szkoły/przedszkola Dane osobowe zawarte na filmach z kamer umieszczonych w szkole/przedszkolu (monitoring) 22