Seminarium szkolnego prawa Białystok 2013

Transkrypt

1 Ochrona danych osobowych w szkole Seminarium szkolnego prawa Białystok 2013

2 Geneza powstania ustawy o ochronie danych osobowych Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych najstarszy akt prawny o zasięgu międzynarodowym, kompleksowo regulujący zagadnienia związane z ochroną danych osobowych nakładający na kraje członkowskie zobowiązanie stworzenia ustawodawstwa w zakresie ochrony danych osobowych, wskazujący jednocześnie, w jakim kierunku ustawodawstwo to ma zmierzać Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych

3 Źródła prawa ochrony danych osobowych Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.) art. 47 (prawo do prywatności) Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. art. 51 (prawo do ochrony informacji dotyczących jego osoby) Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

4 Źródła prawa ochrony danych osobowych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536) Rozporządzenie Prezydenta Rzeczpospolitej z dnia 10 października 2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011 r. Nr 225, poz. 1350)

5 Zakres podmiotowy ustawy Podmioty przetwarzające dane publiczne organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne niepubliczne realizujące zadania publiczne (np. szkoły niepubliczne z uprawnieniami szkół publicznych) prywatne osoby fizyczne, osoby prawne, jednostki organizacyjne nie będące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych Podmioty, których dane osobowe dotyczą osoby fizyczne

6 Zakres podmiotowy ustawy Ustawa o ochronie danych osobowych nie ma zastosowania do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych osób nieżyjących podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

7 Zakres przedmiotowy ustawy Ustawę o ochronie danych osobowych stosuje się do przetwarzania danych osobowych: w zbiorach prowadzonych w systemie papierowym (w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych Do zbiorów danych osobowych sporządzanych: doraźnie wyłącznie ze względów technicznych szkoleniowych lub w związku z dydaktyką w szkołach wyższych a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy ustawy, dotyczące zabezpieczenia zbiorów danych osobowych

8 Definicje ustawowe DANE OSOBOWE - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej dane osobowe zwykłe (np. imię i nazwisko, PESEL, adres zamieszkania) dane osobowe wrażliwe (sensytywne) katalog zamknięty pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, dane o kodzie genetycznym, dane o nałogach dane o życiu seksualnym dane o skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także o innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym

9 Definicje ustawowe ZBIÓR DANYCH - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie PRZETWARZANIE DANYCH - jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych SYSTEM INFORMATYCZNY zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych USUWANIE DANYCH - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą

10 Definicje ustawowe ADMINISTRATOR DANYCH - organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych ZGODA OSOBY - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie; zgoda może obejmować przetwarzanie danych w przyszłości ODBIORCA DANYCH - każdy, komu udostępnia się dane osobowe (z wyjątkiem m.in. osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych)

11 Generalny Inspektor Ochrony Danych Osobowych (GIODO) powoływany i odwoływany przez Sejm RP za zgodą Senatu na 4-letnią kadencję wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych (może wykonywać swoje zadania także przy pomocy jednostek zamiejscowych Biura) Prezydent RP w drodze rozporządzenia nadaje statut Biura oraz wskazuje siedziby jednostek zamiejscowych i ich zasięg terytorialny Generalnym Inspektorem Ochrony Danych Osobowych IV kadencji jest Wojciech Rafał Wiewiórowski - doktor nauk prawnych, który zajmuje to stanowisko od dnia 4 sierpnia 2010 r. telefoniczne porady z zakresu ustawy o ochronie danych osobowych udzielane są pod numerem (0-22) Zainteresowani mogą dzwonić w dni robocze między godziną 8.00 a Biuro Generalnego Inspektora Ochrony Danych Osobowych mieści się przy ul. Stawki 2, Warszawa strona internetowa GIODO:

12 Zadania GIODO kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydawanych decyzji administracyjnych przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz. U. z 2012 r., poz. 1015) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych

13 Generalny Inspektor Ochrony Danych Osobowych (GIODO) GIODO lub upoważnieni przez niego pracownicy Biura, zwani inspektorami, mają prawo: wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych

14 Generalny Inspektor Ochrony Danych Osobowych (GIODO) W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe wstrzymanie przekazywania danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych Strona może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy. Na decyzję GIODO w przedmiocie rozpatrzenia wniosku przysługuje skarga do sądu administracyjnego.

15 GIODO - statystyka GIODO pytania z prośbą o interpretację skargi kontrole zawiadomienia o popełnieniu przestępstwa liczba zarejestrowanych zbiorów

16 Zasady przetwarzania danych osobowych zasada legalności przetwarzać dane osobowe zgodnie z prawem zasada celowości zbierać dane dla oznaczonych, zgodnych z prawem celów zasada merytorycznej poprawności dbać o merytoryczną poprawność danych zasada adekwatności danych dbać o adekwatność danych w stosunku do celów, w jakich są zbierane zasada ograniczenia czasowego przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania

17 Przesłanki dopuszczalności przetwarzania danych zwykłych Przetwarzanie danych zwykłych jest dopuszczalne, jeżeli: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

18 Przesłanki dopuszczalności przetwarzania danych wrażliwych Zakaz przetwarzania danych wrażliwych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, dane o kodzie genetycznym, dane o nałogach dane o życiu seksualnym dane o skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także o innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym Katalog danych wrażliwych nie podlega rozszerzeniu!

19 Przesłanki dopuszczalności przetwarzania danych wrażliwych 10 wyjątków, w których przetwarzanie danych wrażliwych jest dopuszczalne (art. 27 ust. 2 ustawy o ochronie danych osobowych) m.in.: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony jest to niezbędne do wykonania statutowych zadań kościołów przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,

20 Prawa osób, których dane są przetwarzane w zbiorach danych przez administratora danych Każdej osobie, której dane są przetwarzane w zbiorach danych przez administratora danych przysługuje: nie częściej niż raz na 6 miesięcy prawo do kontroli przetwarzania danych, które jej dotyczą, a zwłaszcza prawo do udzielenia jej informacji m.in.: o istnieniu zbioru, swojej nazwie i adresie siedziby, celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze, od kiedy przetwarza dane jej dotyczące, o źródle, z którego pochodzą dane, o sposobie udostępniania danych oraz o ich odbiorcach Administrator danych ma ustawowy obowiązek poinformowania tej osoby w terminie 30 dni od dnia złożenia wniosku Prawo żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane Administrator danych ma obowiązek uwzględnienia żądania bez zbędnej zwłoki

21 Prawa osób, których dane są przetwarzane w zbiorach danych przez administratora danych prawo wniesienia, w przypadku, gdy przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie GIODO, który wydaje stosowną decyzję prawo wniesienia sprzeciwu wobec przetwarzania jej danych w razie wniesienia sprzeciwu, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne

22 Odpowiedzialność za naruszenie przepisów ustawy o ochronie danych osobowych Odpowiedzialność karna (za popełnienie przestępstwa) bezprawne przetwarzanie danych osobowych w zbiorze (art. 49 ustawy) udostępnianie danych osobowych osobom nieupoważnionym (art. 51 ustawy) niedopełnienie obowiązku zabezpieczania danych (art. 52 ustawy) nie zgłoszenie do rejestracji zbioru (art. 53 ustawy) niedopełnienie obowiązku informacyjnego (art. 54 ustawy) udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej (art. 54a ustawy) Odpowiedzialność cywilna (za szkodę) naruszenie dóbr osobistych (roszczenia cywilnoprawne - art. 23, 24 kodeksu cywilnego), odpowiedzialność odszkodowawcza (art. 415 kodeksu cywilnego) Odpowiedzialność dyscyplinarna (za naruszenie obowiązków pracowniczych, tajemnicy danych osobowych) Odpowiedzialność administracyjna (może ją ponosić administrator danych np. decyzja GIODO nakazująca zaprzestania przetwarzania danych)

23 Ochrona danych osobowych w szkole Działalność każdej szkoły i placówki podlega przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Ustawie o ochronie danych osobowych podlegają dane osobowe przetwarzane w szkole: w systemach informatycznych oraz znajdujące się we wszelkich kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych Generalny Inspektor Ochrony Danych Osobowych w 1999 r. uznał, że jednostki komunalne wykonujące w imieniu gminy zadania, które służą zaspokojeniu potrzeb społeczności lokalnej są administratorami danych w rozumieniu ustawy o ochronie danych osobowych. Dotyczy to również szkół oraz innych jednostek organizacyjnych systemu oświaty.

24 Ochrona danych osobowych w szkole Statusu administratora danych nie posiadają jednostki obsługi ekonomiczno-administracyjnej szkół Generalny Inspektor Ochrony Danych Osobowych w 2005 r. rozstrzygnął, że jednostki obsługi ekonomiczno-administracyjnej szkół są podmiotami, którymi administrator danych powierzył w drodze umowy przetwarzanie danych osobowych na podstawie w art. 31 ustawy o ochronie danych osobowych

25 Ochrona danych osobowych w szkole Przepisy szczególne w stosunku do ustawy o ochronie danych osobowych, które określają, jakie dane osobowe szkoła jest uprawniona lub zobowiązana przetwarzać: ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2004 r., Nr 256, poz z późn. zm.) ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela (Dz. U. z 2006 r. Nr 97 poz. 674 z późn. zm.) ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej (Dz. U. z 2011 r., Nr 139, poz. 814 z późn. zm.) rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. z 2002 r. Nr 23, poz. 225 z późn. zm.) rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 20 lutego 2004 r. w sprawie warunków i trybu przyjmowania uczniów do szkół publicznych oraz przechodzenia z jednych typów szkół do innych (Dz. U. z 2004 Nr 26, poz. 232 z późn. zm.) ogół aktów prawnych dotyczących pomocy psychologiczno-pedagogicznej

26 Ochrona danych osobowych w szkole W zakresie wynikającym z powołanych wyżej aktów prawnych szkoły i placówki przetwarzają przede wszystkim: dane osobowe nauczycieli i innych pracowników szkoły dane osobowe uczniów dane osobowe rodziców (opiekunów prawnych) Zgodnie z rozporządzeniem Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U Nr 23, poz. 225 z późn. zm.) zakresem dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej objęte są w szczególności następujące dane osobowe: imię (imiona) i nazwisko dziecka, datę i miejsce urodzenia dziecka, adres zamieszkania dziecka, numer PESEL dziecka imiona i nazwiska rodziców (opiekunów prawanych) oraz adresy ich zamieszkania

27 Ochrona danych osobowych w szkole dokumentacja przebiegu nauczania powinna być prowadzona wyłącznie w zakresie określonym w rozporządzeniu w sprawie prowadzenia dokumentacji do pozyskiwania określonych w rozporządzeniu w sprawie sposobu prowadzenia dokumentacji danych osobowych nie jest wymagana zgoda osoby, której dane dotyczą przetwarzanie danych osobowych wskazanych w ww. rozporządzeniu jest niezbędne dla spełnienia przez szkołę lub placówkę obowiązku wynikającego z przepisu prawa w przypadku pozyskiwania danych osobowych przez szkołę w zakresie szerszym niż ten wskazany w przepisach prawa, aby przetwarzanie danych było legalne, konieczne jest pozyskanie zgody osoby, której dane dotyczą, dla celów dowodowych wskazane jest, aby zgoda została udzielona na piśmie w przypadku uczniów niepełnoletnich zgoda na przetwarzanie ich danych musi być udzielona przez rodziców (prawnych opiekunów)

28 Ochrona danych osobowych w szkole Działalnością szkoły lub placówki kieruje dyrektor szkoły, w związku z powyższym wykonuje on obowiązki administratora danych, co oznacza, że: podejmuje samodzielne decyzje co do celów i środków użytych do przetwarzania danych osobowych, jest odpowiedzialny za bezpieczeństwo tych danych oraz odpowiada za naruszenie przepisów ustawy o ochronie danych osobowych

29 Ochrona danych osobowych w szkole Obowiązki dyrektora szkoły w zakresie ochrony danych osobowych ustalenie, jakiego rodzaju dane osobowe są przetwarzane w szkole oraz jakie zbiory danych są prowadzone (zarówno w postaci papierowej, jak i elektronicznej) zweryfikowanie, czy zostały spełnione przesłanki uprawniające do przetwarzania danych osobowych (np. czy została udzielona zgoda rodziców na przetwarzanie danych osobowych małoletniego dziecka, czy obowiązek lub prawo do przetwarzania określonych danych osobowych wynika z przepisu prawa lub z określonych przez prawo zadań realizowanych dla dobra publicznego) dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane: zgodnie z prawem zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane, dalszemu przetwarzaniu niezgodnemu z tymi celami merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane

30 Ochrona danych osobowych w szkole Przesłanki dopuszczalności przetwarzanie przez szkołę danych osobowych zwykłych: osoba, której dane dotyczą wyrazi na to zgodę jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa jeżeli jest to niezbędne do wykonania określonych przez prawo zadań realizowanych dla dobra publicznego Przetwarzanie przez szkołę i placówkę danych wrażliwych jest co do zasady niedopuszczalne, chyba że zostanie spełniona co najmniej jedna przesłanka dopuszczalności przetwarzania tych danych, określona w art. 27 ust. 2 ustawy o ochronie danych osobowych

31 Ochrona danych osobowych w szkole Obowiązki dyrektora szkoły w zakresie ochrony danych osobowych zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (w tym m.in. zabezpieczanie przed dostępem osób nieupoważnionych pomieszczeń, w których wykonywane są jakiekolwiek operacje na danych osobowych) opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

32 Ochrona danych osobowych w szkole Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) określa: sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych

33 Ochrona danych osobowych w szkole Polityka bezpieczeństwa zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

34 Ochrona danych osobowych w szkole Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; 7) sposób realizacji wymogów, dotyczących odnotowywania informacji o odbiorcach; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

35 Ochrona danych osobowych w szkole wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji dostępne są na stronie

36 Ochrona danych osobowych w szkole Obowiązki dyrektora szkoły w zakresie ochrony danych osobowych wyznaczenie administratora bezpieczeństwa informacji (ABI) nie ma potrzeby wyznaczania ABI, jeżeli administrator danych sam wykonuje zadania ABI Administrator Bezpieczeństwa Informacji w szczególności: nadzoruje przestrzeganie zasad ochrony, określonych przez administratora danych, wynikających z polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym ma obowiązek stosować odpowiednie do zagrożeń i kategorii danych środki techniczne i organizacyjne

37 Ochrona danych osobowych w szkole Obowiązki dyrektora szkoły w zakresie ochrony danych osobowych nadanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Upoważnienie powinno: mieć formę pisemną, mieć charakter imienny, wskazywać konkretna osobę oraz dozwolony zakres przetwarzania, być nadawane niezależnie od tego czy dane przetwarzane są ręcznie czy automatycznie, nadane osobom stale lub czasowo zajmującym się przetwarzaniem danych, stanowić odrębny dokument, nie powinno być zawarte w ramach umowy o pracę lub zakresu czynności Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (osoba upoważniona powinna podpisać oświadczenie o przyjęciu do wiadomości obowiązku zachowania tajemnicy)

38 Ochrona danych osobowych w szkole Upoważnienie imienne do przetwarzania danych osobowych (wzór) Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) upoważniam Panią/Pana... (imię i nazwisko osoby upoważnionej) zatrudnioną (ego) w... (nazwa jednostki i komórki organizacyjnej) na stanowisku... do przetwarzania od dnia... r. danych osobowych w zakresie... i nadaję identyfikator... (podpis administratora danych )

39 Ochrona danych osobowych w szkole Obowiązki dyrektora szkoły w zakresie ochrony danych osobowych prowadzenie ewidencji osób upoważnionych do przetwarzania danych Ewidencja powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania upoważnienia i jego ustania zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym Ewidencję należy prowadzić w formie pisemnej zarówno, gdy dane osobowe przetwarzane są ręcznie, jak też automatycznie Ewidencja powinna odnosić się do wszystkich osób upoważnionych, a nie tylko pozostających w stosunku pracy oraz zawierać wszystkie wymagane informacje

40 Ochrona danych osobowych w szkole Obowiązki dyrektora szkoły w zakresie ochrony danych osobowych zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane respektowanie praw osób, których dane dotyczą zgłoszenie zbioru danych do rejestracji GIODO, chyba że ustawa zwalnia go z tego obowiązku

41 Rejestracja zbiorów danych osobowych ustawa przewiduje 15 przypadków, w których administrator danych zwolniony jest z obowiązku zgłoszenia zbioru do rejestracji Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych m.in.: w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, powszechnie dostępnych

42 Rejestracja zbiorów danych osobowych zgłoszenia zbioru danych dokonuje się na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). zgłoszenie powinno zawierać wszystkie informacje, o których mowa w art. 41 ust. 1 pkt 1-7 ustawy o ochronie danych osobowych oraz być podpisane przez administratora danych lub inną osobę upoważnioną do reprezentowania wnioskodawcy (w przypadku szkoły lub placówki zgłoszenie podpisuje dyrektor) zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, Warszawa) od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną z użyciem bezpiecznego podpisu elektronicznego zgłoszenie można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie "platforma e-giodo".

43 Rejestracja zbiorów danych osobowych Najczęściej zgłaszane do rejestracji GIODO zbiory danych osobowych prowadzone przez szkoły: rejestr korespondencji rejestr dokumentacji przetargowej rejestr uczniów zamieszkałych w obwodzie szkoły realizujących obowiązek szkolny w innej szkole rejestr biblioteczny rejestr upoważnień do odbioru dzieci ze świetlicy

44 Powierzenie przetwarzania danych osobowych Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych w całości lub w części art. 31 ustawy o ochronie danych osobowych Uwaga! Administrator danych nie może powierzyć innemu podmiotowi więcej praw niż sam posiada Podmiot, któremu powierzono przetwarzanie danych: może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy w zakresie przestrzegania powyższych przepisów podmiot ponosi odpowiedzialność jak administrator danych ponosi odpowiedzialność za przetwarzanie danych niezgodnie z umową (uwaga! główna odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych) nie staje się administratorem danych na skutek powierzenia przetwarzania

45 Powierzenie przetwarzania danych osobowych przez szkołę innemu podmiotowi szkoła jako administrator danych może powierzyć przetwarzanie danych wyspecjalizowanemu podmiotowi w całości lub w części instytucja powierzania przetwarzania danych w praktyce szkolnej dotyczy w szczególności powierzenia prowadzenia dziennika elektronicznego szkoły najczęściej powierzają obsługę e-dziennika firmom zewnętrznym dostęp do danych osobowych zawartych w e-dziennikach jest możliwy przez Internet za pomocą połączeń szyfrowanych Uwaga! Dziennik lekcyjny prowadzony w tradycyjnej formie jest zbiorem danych osobowych i wymaga, aby osoba przetwarzająca dane osobowe (nauczyciel) posiadała stosowne upoważnienie do przetwarzania danych osobowych, a pokój nauczycielski jako pomieszczenie, w którym ten dziennik jest przechowywany, był odpowiednio zabezpieczony. W pokoju nauczycielskim nie powinna przebywać, bez nadzoru przynajmniej jednej osoby upoważnionej, żadna osoba nieupoważniona.

46 Dziennik elektroniczny Powierzenie przetwarzania danych osobowych przez szkoły innemu podmiotowi szkoła może powierzyć prowadzenie dziennika elektronicznego firmie zewnętrznej wyłącznie w drodze umowy zawartej na piśmie, określającej zakres i cel przetwarzania danych oraz w szczególności zasady odpowiedzialności podmiotu, któremu przekazano dane i ramy czasowe takiej umowy Podmiot, któremu powierzono przetwarzanie danych: może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (zakres i cel musi być związany ze świadczeniem usługi dziennika elektronicznego i nie może być rozszerzany samodzielnie przez dostawcę) jest obowiązany podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznychi Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz.1024) nie staje się administratorem danych

47 Powierzenie przetwarzania danych osobowych przez szkoły innemu podmiotowi Dziennik elektroniczny dane zgromadzone w systemie dziennika elektronicznego (np. dane uczniów, ich oceny, obecności) mogą być administrowane wyłącznie przez szkołę (szkoła jest bowiem administratorem danych osobowych) nie spełnia wymogów z art. 31 ustawy o ochronie danych osobowych umowa udzielenia licencji na korzystanie z systemu informatycznego zawarta z chwilą otrzymania przez szkołę kodu dostępu do systemu informatycznego nie wystarczy pisemna umowa hostingowa (hosting udostępnienie przez dostawce usług internetowych zasobów serwerowni), jeśli nie zawiera ona postanowień, z których wynikałoby, iż na ich podstawie powierzono przetwarzanie danych osobowych w celu wykonania tej umowy

48 Dziennik elektroniczny Powierzenie przetwarzania danych osobowych przez szkoły innemu podmiotowi powierzenie przez szkołę firmie przetwarzania danych osobowych bez zawarcia w formie pisemnej umowy, stanowi naruszenie art. 31 ust. 1 ustawy o ochronie danych osobowych dyrektor szkoły ponosi odpowiedzialność za właściwe prowadzenie i przechowywanie dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz za wydawanie przez szkołę dokumentów zgodnych z posiadaną dokumentacją dyrektor szkoły decyduje, czy rodzice uczniów będą mogli logować się do systemu dziennika elektronicznego i jaki zakres będzie im udostępniony decyzja ta powinna w równym stopniu obejmować wszystkich rodziców i określać jednakowe warunki korzystania z e-dziennika oraz uniemożliwiać użytkownikom przenoszenia danych osobowych znajdujących się w dzienniku elektronicznym na komputery osobiste pobieranie opłat od rodziców za dostęp do dziennika elektronicznego jest nieuprawnione GIODO nie wydaje żadnych certyfikatów będących poświadczeniem bezpieczeństwa przetwarzanych danych

49 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Analiza zagadnień związanych z przetwarzaniem danych osobowych w szkołach i placówkach, którymi zajmował się dotychczas GIODO, wydawanych przez GIODO decyzji administracyjnych, odpowiedzi udzielanych w konkretnych sprawach oraz sprawozdań z działalności, pozwala na wyodrębnienie kilku grup zagadnień z zakresu ochrony danych osobowych w szkołach i placówkach: udostępnianie danych osobowych nauczycieli udostępnianie danych osobowych rodziców udostępnianie danych osobowych uczniów zakres danych przetwarzanych przez szkoły i placówki

50 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Udostępnianie danych osobowych nauczycieli wywieszanie w miejscach publicznych zarządzeń dyrektora szkoły informujących o braku kwalifikacji wymienionych z imienia i nazwiska nauczycieli zgodnie ze stanowiskiem GIODO, działanie takie narusza przepisy ustawy o ochronie danych osobowych żądanie od dyrektora szkoły przez organ prowadzący imiennego wykazu jej pracowników wraz z informacją o wymiarze czasu pracy - GIODO uznał za legalne przekazywanie przez dyrektorów szkół organom prowadzącym pełnych akt osobowych pracowników zatrudnionych w szkołach - w ocenie GIODO działanie to nie znajduje uzasadnienia w powszechnie obowiązujących przepisach prawa.

51 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Udostępnianie danych osobowych rodziców udostępnienie przez dyrektora adresów zamieszkania członków rady rodziców według GIODO udostępnienie tych danych wnika w sferę życia prywatnego członków rady; rada powinna określić zasady kontaktowania się z nią w regulaminie rady rodziców samowolne udostępnienie przez nauczyciela i byłego wychowawcę klasy, danych rodziców i dwóch uczniów przychodniom zdrowia w związku z prywatnym sporem, jaki prowadził z rodzicami - GIODO w decyzji z dnia 31 sierpnia 2005 r. (sygn. GI-DEC-DS-275/05) wskazał na uchybienie administratora danych polegające na niezastosowaniu wystarczających środków bezpieczeństwa przetwarzanych danych. W regulaminach wewnętrznych szkoły brak było postanowień, które zabraniałyby wykorzystania danych pozyskanych w celach służbowych do celów prywatnych realizowanych przez osoby korzystające z tych danych.

52 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Udostępnianie danych osobowych uczniów i rodziców czy nauczyciele mogą wyrazić zgodę na to, by przedstawiciele firmy marketingowej w trakcie prowadzonych lekcji, gromadzili informacje o uczniach i ich rodzicach (imieniu, nazwisku, numerze telefonu) w celu prowadzenia akcji marketingowej? Nie, gdyż zgodę na wykorzystywanie danych osobowych uczniów w celach marketingowych mogą wyrazić tylko sami uczniowie, w przypadku gdy są pełnoletni, a jeśli są niepełnoletni, zgodę wyrażają rodzice (opiekunowie prawni).

53 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Udostępnianie danych osobowych uczniów legalność publikowanie na stronie www danych osobowych ucznia i jego osiągnięć sportowych - w ocenie GIODO, działanie takie wymaga spełnienia przez administratora danych co najmniej jednej przesłanki z art. 23 ust. 1 ustawy dopuszczającej przetwarzanie danych (m.in. zgoda rodziców lub pełnoletnich uczniów, przepis prawa dopuszczający taką formę przetwarzania danych), w innym przypadku opublikowanie danych będzie niezgodne z prawem legalność wywieszania na tablicy ogłoszeń listy nazwisk dzieci z kwotą zaległych opłat zgodnie ze stanowiskiem GIODO, administrator powinien dysponować chociaż jedną przesłanką z art. 23 ust. 1 ustawy, inaczej jest to nielegalne wywieszenia w miejscu publicznie dostępnym listy uczniów, których nie można zabierać na wycieczki szkolne, ponieważ nie są one ubezpieczone GIODO uznał za rażące naruszenie obowiązku prawidłowego zabezpieczenia danych osobowych

54 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Udostępnianie danych osobowych uczniów dopuszczalność publikowania na stronach internetowych wizerunku uczniów oraz ocen uzyskiwanych przez uczniów GIODO podkreślił, że w przypadku braku zgody rodziców (prawnych opiekunów) lub pełnoletnich uczniów, których dane dotyczą brak jest przesłanki zezwalającej na ich przetwarzanie obowiązek noszenia przez uczniów identyfikatorów zawierających imię, nazwisko ucznia, wizerunek ucznia i nazwę klasy do której uczeń uczęszcza według GIODO działanie takie jest dopuszczalne, jeśli wynika ze statutu szkoły, który na podstawie art.60 ust. 1 pkt 4 i 7 ustawy o systemie oświaty powinien określać prawa i obowiązki uczniów lub innych wewnętrznych przepisów obowiązujących w danej jednostce organizacyjnej udostępnienie Kościołowi przez katechetę danych dzieci nie uczęszczających na religię GIODO uznał za dopuszczalne ujawnienie Kościołowi danych uczniów ale tylko wyznania katolickiego, jeżeli takie działanie jest niezbędne do wykonywania przez Kościół jego statutowych działań

55 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Zakres danych przetwarzanych przez szkoły i placówki żądanie podania szczegółowych danych osobowych rodziców na pierwszej stronie dzienniczka ucznia GIODO uznał, że przepisy nie wskazują, jakie dane powinien zawierać dzienniczek ucznia, wobec czego żądanie podania szczegółowych danych osobowych rodziców nie jest zgodne z prawem dopuszczalność umieszczania w dziennikach lekcyjnych danych osobowych rodziców według GIODO umieszczanie w dziennikach lekcyjnych danych osobowych rodziców jest dopuszczalne w zakresie wynikającym z rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji

56 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Zakres danych przetwarzanych przez szkoły i placówki instalowanie kamer wizyjnych w szkołach w ocenie GIODO praktykę uznać należy za zgodną z przepisami o ochronie danych osobowych, mającą zapobiegać patologiom wśród dzieci i pozwalającą na szybszą reakcję w przypadku używania siły w kontaktach między uczniami; jako podstawę przetwarzania wskazuje się zapewnienie bezpieczeństwa publicznego zgodnie z ustawą z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2005 r. Nr 145, poz z późn. zm.) rejestracja zbiorów danych dzieci uczących się w danej szkole zbiór takich danych jest zwolniony z rejestracji na podstawie art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych

57 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Zakres danych przetwarzanych przez szkoły i placówki czy dyrektor szkoły może przetwarzać posiadane przez szkołę dane osobowe na potrzeby złożenia pozwu do sądu dla nieletnich? W ocenie GIODO, takie postępowanie nie narusza W ocenie GIODO, takie postępowanie nie narusza przepisów ustawy o ochronie danych osobowych. Dyrektor szkoły ma prawo wykorzystać dane osobowe zawarte w księdze uczniów w celu złożenia wniosku do sądu dla nieletnich. Powyższe uprawnienie dyrektora wynika z przepisów prawa, zwłaszcza z ustawy z dnia 26 października 1982 r. o postępowaniu w sprawach nieletnich.

58 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Zakres danych przetwarzanych przez szkoły i placówki czy szkoła posiadająca rejestr uczniów realizujących obowiązek szkolny w innych szkołach powinna zgłosić taki zbiór danych do osobowych rejestracji GIODO? Z obowiązku rejestracji zbioru danych zwolnieni są m.in. administratorzy danych prowadzący zbiory danych osób u nich uczących się. Oznacza to, że z obowiązku rejestracji zwolnione zbiory danych osób, które się w nich uczą. Jeżeli szkoła przetwarza (np. tylko przechowuje) zbiory danych osób, które realizują obowiązek szkolny w innych szkołach, wówczas wskazana wyżej przesłanka zwolnienia z rejestracji nie ma zastosowania. Tym samym takie zbiory danych osobowych powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych.

59 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Zakres danych przetwarzanych przez szkoły i placówki czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u GIODO? Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje wyłączenie z rejestracji. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich. Dotyczy to zbiorów aktualnych i byłych pracowników, a także kandydatów do pracy.

60 Ochrona danych osobowych w szkole i placówce - wybrane zagadnienia z zakresu działalności GIODO Zakres danych przetwarzanych przez szkoły i placówki czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia zbiorów do rejestracji GIODO? Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Jeżeli biblioteki prowadzone przez szkoły przetwarzają wyłącznie dane osób uczących się w nich, zatrudnionych w tych szkołach lub świadczących im usługi na podstawie umów cywilnoprawnych, to zwolnione są one z obowiązku zgłoszenia do rejestracji przedmiotowego zbioru danych. W przypadku, gdy w zbiorach takich znajdą się dane osób innych, niż wyżej wymienione, będą one podlegały obowiązkowi zgłoszenia do rejestracji GIODO.

61 Tajemnica zawodowa nauczyciela trochę historii art. 31 ustawy z dnia 1 lipca 1926 r. o stosunkach służbowych nauczycieli Nauczyciel jest obowiązany zachować w tajemnicy wszystkie sprawy, o których powziął wiadomość, dzięki swemu stanowisku służbowemu, o ile sprawy te wyraźnie uznano za poufne, lub gdy utrzymania ich w tajemnicy wymaga dobro publiczne, inne względy służbowe, albo interes uczniów lub ich rodziców. W szczególności zaś nauczyciel winien zachować w tajemnicy przebieg obrad rad pedagogicznych (pełnych lub klasowych). Nauczyciel powinien zachować tajemnicę wobec każdego, komu nie jest obowiązany donosić o tych sprawach służbowo, o ile właściwa władza w poszczególnym wypadku nie uwolni go od tego obowiązku. Obowiązek zachowania tajemnicy trwa zarówno w czasie czynnej służby, jak też po przejściu w stan nieczynny, pozasłużbowy i na emeryturę oraz po rozwiązaniu stosunku służbowego z jakiegokolwiek powodu.

62 Dziękuję za uwagę Monika Rękawek Zespół Obsługi Prawnej Kuratorium Oświaty w Białymstoku