Ochrona danych osobowych w szkole

Transkrypt

1 kwiecień Ochrona danych osobowych w szkole Problematyka ochrony danych osobowych, w mniejszym lub większym stopniu, dotyczy nas wszystkich. Stykamy się z nią zarówno w pracy, jak i w życiu prywatnym. Nasze dane osobowe stają się coraz bardziej poszukiwanym towarem, a postęp technologiczny sprzyja ich wymianie. Jednocześnie wokół tej tematyki narosło wiele niejasności i niedomówień, ponieważ obowiązujące w tym zakresie akty prawne, sprawiają wiele problemów interpretacyjnych. Warty zasygnalizowania jest fakt, że świadomość prawna społeczeństwa związana z ochroną danych osobowych ciągle wzrasta, co znajduje odzwierciedlenie w ilości zgłaszanych przypadków łamania przepisów o ochronie danych osobowych (również przez podmioty objęte systemem oświaty). Warto zatem przypomnieć, że działalność każdej szkoły i placówki podlega przepisom ustawy z dnia 9 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). W 1999 r. Generalny Inspektor Ochrony Danych Osobowych uznał, że jednostki komunalne wykonujące w imieniu gminy zadania, które służą zaspokojeniu potrzeb społeczności lokalnej, są administratorami danych w rozumieniu ustawy o ochronie danych osobowych. Dotyczy to również szkół oraz innych jednostek organizacyjnych systemu oświaty. Mimo, że od tego czasu upłynęło już 12 lat, wciąż aktualne są pytania i problemy związane z bezpieczeństwem danych osobowych w szkołach i placówkach. Przetwarzać w szkole dane osobowe na podstawie przepisów prawa, czy konieczna jest zgoda rodziców (lub opiekunów prawnych)? W jakim zakresie dopuszczalne jest przetwarzanie danych uczniów, rodziców, nauczycieli? Czy można na zebraniach z rodzicami podawać publicznie informacje o uzyskanych przez uczniów wynikach nauczania? Temat zyskuje jeszcze bardziej na aktualności z uwagi na możliwość prowadzenia przez szkoły dzienników elektronicznych, zastępujących dzienniki lekcyjne prowadzone w tradycyjnej papierowej formie. Świadomość zagadnień z zakresu ochrony danych osobowych wśród dyrektorów szkół i nauczycieli staje się niezbędna. Akty prawne regulujące ochronę danych osobowych Pierwsze regulacje dotyczące ochrony danych osobowych o randze międzynarodowej pojawiły się w Konwencji Nr 108 Rady Europy z 28 stycznia 1981 r. o ochronie osób w związku Monika Rękawek radca prawny z automatycznym przetwarzaniem danych osobowych. Jest to, jak się zaznacza, najstarszy instrument międzynarodowej ochrony danych. Dokumentem, który odegrał ogromną rolę przy tworzeniu polskiej ustawy o ochronie danych osobowych była również Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych. Do polskiego ustawodawstwa przepisy regulujące zasady przetwarzania danych osobowych zostały wprowadzone ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), która wzorowana była w znacznej mierze na zasadach ustanowionych Dyrektywą 95/46/WE Parlamentu Europejskiego i Rady, i jest zgodna z ogólną polityką państw europejskich w tym zakresie. Pozwoliło to na podpisanie przez Polskę 21 kwietnia 1999 r. i ratyfikowanie 24 maja 2002 r. Konwencji Nr 108 Rady Europy. Warto podkreślić, że krajem, który pierwszy w sposób kompleksowy określił prawne ramy dopuszczalności przetwarzania danych były Niemcy, pierwszą ustawę landową uchwalono w He- W ciągu ostatnich kilku miesięcy Generalny Inspektor Ochrony Danych Osobowych skierował do szkół i placówek oraz organów prowadzących uwagi dotyczące stwierdzonych przypadków naruszania przepisów dotyczących ochrony danych osobowych w zakresie rekrutacji do przedszkoli, takich jak żądanie przedkładania przez rodziców dzieci m.in. zeznań podatkowych, zaświadczeń ZUS RMUA, opinii lekarskich, orzeczeń sądowych, oraz prowadzenia dzienników elektronicznych, w tym naruszenie zasad powierzania przetwarzania danych. Rzecznik Praw Dziecka w wystąpieniu z 2 lutego 2011 r. zwrócił uwagę na naruszanie przez szkoły praw dziecka wynikających z jego ochrony danych osobowych, w szczególności poprzez podawanie przez nauczycieli do publicznej wiadomości danych osobowych dziecka oraz udostępnianie przez szkoły danych osobowych uczniów osobom nieuprawnionym, występującym jako rzekomi obrońcy (rzeczników) praw dziecka.

2 38 edufakty sji w 1970 r. Siedem lat później weszła w życie niemiecka ustawa federalna. Podstawowym źródłem prawa ochrony danych osobowych jest Konstytucja Rzeczypospolitej Polskiej z 2 kwietnia 1997r. (Dz. U. Nr 78, poz. 483 z późn. zm.), która w art. 47 gwarantuje obywatelom prawo do prywatności oraz w art. 51 gwarantuje każdemu prawo do ochrony informacji dotyczących jego osoby. Art. 51 ust. 1 Konstytucji wyraźnie stwierdza, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawnienia informacji jego dotyczących. Stosownie do art. 51 ust. 5 Konstytucji zasady i tryb gromadzenia oraz udostępniania informacji znalazły urzeczywistnienie w powołanej wyżej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Na podstawie powyższej ustawy zostały wydane następujące akty wykonawcze: rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923); rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024); rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536). ona zastosowanie do przetwarzania danych osobowych w systemach informatycznych, ale również w tzw. zbiorach manualnych, tj. w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Ustawę stosuje się do: podmiotów publicznych organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych; podmiotów prywatnych osób fizycznych, osób prawnych, jednostek organizacyjnych nie będących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Ustawa o ochronie danych osobowych zawiera jednocześnie regulacje przewidujące ograniczenia, jak i wyłączenia jej stosowania. Nie ma ona zastosowania do zbiorów danych osobowych, które nie mają charakteru trwałego, tzn. sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji. Do tego rodzaju zbiorów mają zastosowanie jedynie przepisy rozdziału 5 ustawy, dotyczące zabezpieczenia zbiorów danych osobowych. Ustawa nie ma zastosowania do: - osób zmarłych, - osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, - przedsiębiorców, - osób fizycznych, osób prawnych, jednostek organizacyjnych nie będących osobami prawnymi, jeżeli nie przetwarzają danych osobowych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, Zgodnie z delegacją ustawową Prezydent Rzeczpospolitej wydał ponadto rozporządzenie z 3 listopada 2006 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006 r. Nr 203, poz. 1494), które utraciło moc z dniem 7 marca 2011 r. W tym dniu weszła w życie opublikowana 6 grudnia 2010 r. ustawa z 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497). Przepis art. 1 pkt 3 lit. b ustawy zmieniającej nadał nowe brzmienie art. 13 ust. 3 ustawy o ochronie danych osobowych, który upoważnia Prezydenta RP do wydania rozporządzenia określającego m.in. statut Biura GIODO oraz wskazania siedzib jednostek zamiejscowych. Zakres przedmiotowy i podmiotowy ustawy Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ma

3 kwiecień podmiotów, które mają miejsce zamieszkania lub siedzibę w państwie trzecim, - prasowej działalności dziennikarskiej, działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. Podstawowe definicje ustawowe DANE OSOBOWE przez dane osobowe należy rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Za osobę możliwą do zidentyfikowania uważa się osobę, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. W związku z powyższym dane osobowe stanowi nie tylko imię i nazwisko, ale również inne informacje dotyczące konkretnej osoby, przy pomocy których będzie można ją zidentyfikować, np. przypisane jej numery identyfikacyjne, cechy fizjologiczne, ekonomiczne, społeczne. Dane osobowe dzielą się na tzw. dane zwykłe oraz wrażliwe (sensytywne). Dane zwykłe nie zostały w ustawie zdefiniowane. Należy przyjąć, że obejmują one np. takie dane jak: imię i nazwisko, PESEL, adres zamieszkania, datę urodzenia. Zamknięty katalog tzw. danych wrażliwych (szczególnie chronionych) określa art. 27 ust. 1 ustawy. Dane te dotyczą: pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Ustawa przewiduje 10 wyjątków, w których przetwarzanie danych wrażliwych jest dopuszczalne (art. 27 ust. 2 ustawy). ZBIÓR DANYCH - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. PRZETWARZANIE DANYCH - to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Ustawa nie definiuje poszczególnych pojęć składających się na przetwarzanie danych, z wyjątkiem USUWANIA DANYCH, przez co rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Czynności usunięcia danych można dokonać bądź poprzez fizyczne zniszczenie dokumentu np. w niszczarce lub też poprzez zaczernienie danych osobowych w dokumencie w sposób uniemożliwiający ich odczytanie. Nie stanowi usunięcia danych, praktykowane niejednokrotnie, wyrzucenie dokumentów na śmietnik. SYSTEM INFORMATYCZNY zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. ADMINISTRATOR DANYCH - organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy (organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, osoba fizyczna, osoba prawna, jednostka organizacyjna nie będąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych) decydujące o celach i środkach przetwarzania danych osobowych. ZGODA OSOBY to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Z treści klauzuli o wyrażeniu zgody powinno wynikać w jakim celu, przez kogo i w jakim zakresie będą przetwarzane dane osobowe.

4 40 edufakty Organ ochrony danych osobowych Organem ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO) powoływany i odwoływany przez Sejm RP za zgodą Senatu na 4-letnią kadencję. Wykonuje on swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych (może wykonywać swoje zadania także przy pomocy jednostek zamiejscowych Biura). Postępowanie w sprawach uregulowanych w ustawie GIODO prowadzi w oparciu o Kodeks postępowania administracyjnego. Do zadań GIODO należy w szczególności: 1. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3. zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydawanych decyzji administracyjnych przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.) tj. nakładanie grzywien w celu przymuszenia, 4. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 5. opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 6. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Przetwarzanie danych zwykłych (czyli dokonywanie wszelkich operacji na danych osobowych, takich jak zbieranie, przechowywanie, udostępnianie itp.) jest dopuszczalne wyłącznie w przypadku zaistnienia następujących przesłanek: 1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przy czym, aby przetwarzanie danych było legalne wystarczające jest spełnienie tylko jednej z powyższych przesłanek. Zgodnie z art. 27 ust. 1 ustawy przetwarzanie tzw. danych wrażliwych jest co do zasady zabronione. Przetwarzanie danych wrażliwych będzie możliwe tylko w sytuacji, gdy administrator danych wykaże, iż zachodzi co najmniej jedna z dziesięciu przesłanek określonych w art. 27 ust. 2 ustawy o ochronie danych osobowych. W przypadku naruszenia przepisów o ochronie danych osobowych, GIODO nakazuje w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem. Strona niezadowolona z decyzji może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji. Na decyzję w przedmiocie wniosku o ponowne rozpatrzenia sprawy przysługuje skarga do sądu administracyjnego. GIODO prowadzi ogólnopolski jawny rejestr zbiorów danych osobowych, dostępny w siedzibie Biura GIODO lub za pomocą systemu e-giodo poprzez Internet. Generalnym Inspektorem Ochrony Danych Osobowych IV kadencji jest Wojciech Rafał Wiewiórowski, doktor nauk prawnych, który zajmuje to stanowisko od 4 sierpnia 2010 r. Obowiązki administratora danych 1. Spełnienie przesłanek uprawniających do przetwarzania danych osobowych

5 kwiecień Obowiązek informacyjny Administrator danych musi spełnić obowiązek informacyjny zarówno na etapie zbierania danych, jak również w każdym dalszym etapie ich przetwarzania. Na etapie gromadzenia danych obowiązek informacyjny ciąży na administratorze danych niezależnie od tego czy zainteresowana osoba wystąpi ze stosownym wnioskiem. Na każdym dalszym etapie obowiązek udzielenia informacji występuje tylko w przypadku, gdy zainteresowana osoba zwróci się o to do administratora danych. W sytuacji zbierania danych osobowych od osoby, której one dotyczą (art. 24 ust. 1 ustawy) administrator danych jest obowiązany poinformować tę osobę o: 1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3. prawie dostępu do treści swoich danych oraz ich poprawiania, 4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Obowiązek ten powinien zostać wykonany w momencie zbierania danych. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą (art. 25 ust. 1 ustawy), administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o: 1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2. celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, 3. źródle danych, 4. prawie dostępu do treści swoich danych oraz ich poprawiania, 5. o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy tj. dotyczących środków odwoławczych. Obowiązek ten powinien zostać wykonany bezpośrednio po utrwaleniu danych. Jednocześnie ustawa o ochronie danych osobowych w art. 24 ust. 2 oraz 25 ust. 2 przewiduje przypadki zwolnienia z obowiązków informacyjnych. 3. Obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą Administrator danych jest zobowiązany zapewnić aby dane osobowe były w szczególności: 1. przetwarzane zgodnie z prawem (zasada legalności), 2. zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (zasada celowości przetwarzania danych), 3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (zasada merytorycznej poprawności danych), 4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 4. Obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych Administrator danych jest obowiązany: a) zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczenie

6 42 edufakty Szczegółowe warunki zabezpieczania danych osobowych określone zostały w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). b) prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną Dokumentację przetwarzania danych osobowych stanowią prowadzone w formie pisemnej i wdrożone przez administratora danych: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym. Sposób prowadzenia powyższej dokumentacji oraz jej zakres szczegółowo reguluje rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). c) wyznaczyć administratora bezpieczeństwa informacji (ABI), nadzorującego przestrzeganie zasad ochrony, chyba że administrator sam wykonuje te czynności ABI nadzoruje przestrzeganie zasad ochrony, określonych przez administratora danych, a wynikających z polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Ponadto ma obowiązek stosować odpowiednie do zagrożeń i kategorii danych środki techniczne i organizacyjne. c) nadać upoważnienia osobom dopuszczonym do przetwarzania danych osobowych Upoważnienie powinno: mieć formę pisemną, mieć charakter imienny, tj. wskazywać konkretną osobę oraz dozwolony zakres przetwarzania, być nadawane niezależnie od tego, czy dane przetwarzane są ręcznie, czy automatycznie, zostać nadane zarówno osobom stale, jak i czasowo zajmującym się przetwarzaniem danych, stanowić odrębny dokument, nie powinno być zawarte w ramach umowy o pracę lub zakresu czynności. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (osoba upoważniona powinna podpisać oświadczenie o przyjęciu do wiadomości obowiązku zachowania tajemnicy). d) prowadzić ewidencję osób upoważnionych do przetwarzania danych Ewidencja powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania upoważnienia i jego ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Ewidencję należy prowadzić w formie pisemnej zarówno, gdy dane osobowe przetwarzane są ręcznie, jak też automatycznie. Powinna ona odnosić się do wszystkich osób upoważnionych, a nie tylko pozostających w stosunku pracy oraz zawierać wszystkie wymagane w art. 39 ust. 1 ustawy informacje. f) zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane g) zgłosić zbiór danych do rejestracji GIODO, chyba, że ustawa zwalnia go z tego obowiązku Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: zawierających informacje niejawne, które zostały uzyskane w wyniku czynności operacyjnorozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, przetwarzanych przez Generalnego Inspektora Informacji Finansowej, przetwarzanych przez właściwe organy na potrzeby

7

8 44 edufakty udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, powszechnie dostępnych, przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Zgłoszenia zbioru dokonuje się przy pomocy odpowiedniego formularza zgłoszeniowego, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536). Zgłoszenia można dokonać za pośrednictwem poczty, osobiście lub przy wykorzystaniu elektronicznej formy komunikacji poprzez platformę e-giodo, dostępnej ze strony internetowej GIODO jeżeli podmiot zgłaszający dysponuje podpisem elektronicznym. Do formularza zgłoszeniowego nie należy dołączać dodatkowych dokumentów. Jeżeli dokumenty takie jak np. polityka bezpieczeństwa, czy instrukcja zarządzania systemem informatycznym będą wymagane w toku prowadzonego postępowania rejestracyjnego, administrator danych zostanie wezwany do ich przedłożenia. Administrator danych zwykłych może rozpocząć przetwarzanie tych danych po zgłoszeniu zbioru danych do rejestracji. Zaświadczenie o wpisie do rejestru wydawane jest wówczas na wniosek administratora danych. Jeżeli administrator danych zamierza gromadzić dane wrażliwe, może to zrobić dopiero po rejestracji zbioru. W tym przypadku zaświadczenie o rejestracji wydawane jest obligatoryjnie przez GIODO. Należy pamiętać, że zgłoszeniu podlega również każda zmiana informacji wcześniej zgłoszonych, w terminie 30 dni od dnia dokonania zmiany w zbiorze. GIODO wydaje decyzję administracyjną odmawiającą rejestracji zbioru danych oraz nakazuje podjęcie określonych w ustawie czynności, w przypadkach szczegółowo wskazanych w art. 44 ust. 1 ustawy o ochronie danych osobowych. Po usunięciu wskazanych wad administrator danych może ponownie zgłosić zbiór do rejestracji. Wykreślenie zbioru z rejestru następuje w drodze decyzji administracyjnej jeżeli: zaprzestano przetwarzania danych w zarejestrowanym zbiorze, rejestracji dokonano z naruszeniem prawa. Więcej w numerze majowym EduFaktów