Prawo w CEN - szkolenie wewnętrzne dla pracowników. Karolina Sikorska- Bednarczyk. cz.2

Transkrypt

1 Prawo w CEN - szkolenie wewnętrzne dla pracowników Karolina Sikorska- Bednarczyk cz.2

2 Karolina Sikorska- Bednarczyk prawnik, doradca prawny, ekspert prawa pracy, prawa oświatowego i prawa pomocy społecznej, właściciel Kancelarii Prawnej Batna, wykładowca, trener. Notka o prowadzącej

3 Powtórzenie spraw podróży służbowych i czasu pracy. Ochrona danych osobowych Odpowiedzi na pytania Uczestników zadane wcześniej. Program szkolenia

4 Kodeks pracy, a regulamin pracy? wyżej stoi kodeks, a wewnętrzne akty prawne nie mogą być z nim sprzeczne, ani mniej korzystne niż przepisy kodeksu pracy oraz innych ustaw i aktów wykonawczych gdy taka okoliczność wystąpi stosujemy akt korzystniejszy art. 9 k.p. - akty prawa wewnętrznego mogą być korzystniejsze! Prawo a prawo wewnętrzne: relacje/konsekwencje/prawa/obowią zki (uporządkowanie wiedzy).

5 Stosunek pracy jest stosunkiem podporządkowania pracownika poleceniom pracodawcy pracownik ma obowiązek wykonywać wszystkie polecenia pracodawcy o ile nie są sprzeczne z jego umową o pracę, przepisami prawa i zasadami współżycia społecznego. Pracownik może odmówić wykonania polecenia służbowego pracodawcy jedynie w uzasadnionych przypadkach gdy polecenie zagraża jego życiu lub zdrowiu i jest niezgodne z umową o pracę, przepisami prawa Idea stosunku pracy 5

6 Czas pracy jest to czas, w którym pracownik pozostaje w dyspozycji pracodawcy, w miejscu wyznaczonym do wykonywania pracy pracownik otrzymuje wynagrodzenie za fizycznie przepracowany czas pracy. Samowolne opuszczanie miejsca pracy (nawet na dymka ) jest naruszeniem obowiązków pracownika. Ważne obowiązki pracowników wybrane 6

7 Pięciodniowy tydzień pracy poza portiernią i obsługą sprzątającą, Cztery okresy rozliczeniowa, Pora nocna od 22 do 6 rano Tygodniowy wymiar godzin nauczyciele konsultanci 35 godzin realizacja zajęć statutowych wypełnianie miesięcznej karty pracy godziny pracy od 7:30 do 20:00, Za pracę w dniach wolnych dzień wolny, - decyzja dyrektora kiedy Czas pracy w CEN

8 Zarządzenie nr 5/2013 z dnia 1 marca 2013 r. Dyrektora CEN w sprawie odbywania krajowych podróży służbowych i ich rozliczania, Instrukcja w sprawie zasad rozliczania podróży służbowych załącznik, Delegacje

9 Polecenie wyjazdu Podróż służbowa odbywają pracownicy jedynie na polecenie dyrektora lub osób przez niego upoważnionych wypełnia się druk polecenie wyjazdu służbowego, Musi być określony środek transportu własny samochód jedynie za zgodą pracodawcy na wniosek pracownika, Pracownikowi przysługuje zaliczka w wysokości przewidzianych kosztów podróży, Rozliczenie delegacji 14 dni maksymalnie,

10 Termin podróży służbowej Pracownik jest zobowiązany do odbycia podróży służbowej w terminie określonym przez przełożonego, do miejscowości określonej na poleceniu. Miejscowość rozpoczęcia i zakończenia podróży określa pracodawca. Może uznać za tę miejscowość miejsce pobytu stałego lub czasowego pracownika.

11 Na wniosek pracownika pracodawca może wyrazić zgodę na odbycie podróży służbowej pojazdem innym niż służbowy. konieczne wypełnienie wniosku stanowiącego załącznik do instrukcji. Pojazd służbowy a własny

12 Pracownik udający się w podróż służbową ma prawo do zaliczki pokrywającej poniesione koszty dowód kasowy potwierdzający poniesione wydatki druk polecenia służbowego. Podróż służbowa a zaliczka

13 Podstawowym problemem jest dokonanie właściwej oceny i kwalifikacji, czy czas poświęcony przez pracownika na dojazd do celu podróży służbowej i powrót uznać należy za czas pracy. Podróż służbowa a czas pracy

14 czas dojazdu i powrotu z miejscowości stanowiącej cel pracowniczej podróży służbowej oraz czas pobytu w tej miejscowości nie są pozostawaniem do dyspozycji pracodawcy w miejscu wyznaczonym do wykonywania pracy (art kodeksu pracy.), lecz w zakresie przypadającym na godziny normalnego rozkładu czasu pracy podlegają wliczeniu do jego normy (nie mogą być od niej odliczone), natomiast w zakresie wykraczającym poza rozkładowy czas pracy mają w sferze regulacji czasu pracy i prawa do wynagrodzenia doniosłość o tyle, o ile uszczuplają limit gwarantowanego pracownikowi czasu odpoczynku. wyrok z dnia 23 czerwca 2005 r., sygnatura akt II PK 265/2004

15 Rezultat podróży służbowej Rezultatem oceny czasu odbywania podróży służbowej jako czasu, kiedy pracownik nie pozostaje w dyspozycji pracodawcy w rozumieniu art kodeksu pracy, jest fakt, że podróż służbowa poza obowiązującym pracownika rozkładem czasu pracy nie zobowiązuje do wypłacenia pracownikowi dodatkowego wynagrodzenia. Pracownik otrzymuje wynagrodzenie jedynie za ten czas podróży służbowej, który pokrywa się z obowiązującym go rozkładem czasu pracy. Do czasu pracy bowiem nie wlicza się całego okresu podróży służbowej. W zakresie przypadającym na godziny normalnego rozkładu czasu pracy, czas przejazdu należy zaliczyć do normy czasu pracy, natomiast czas przeznaczony na przejazd nie może być od normy odliczony.

16 Podróż służbowa a czas odpoczynku Czas podróży służbowej, a przede wszystkim czas podróży powrotnej, ma również wpływ na określone w kodeksie pracy prawo pracownika do odpoczynku. Podróż powrotna odbywana poza obowiązującym rozkładem czasu pracy, choć nie ma wpływu na wynagrodzenie pracownika, to jednak powinna być uwzględniana przez pracodawcę w kontekście przestrzegania przepisów o zapewnieniu pracownikowi prawa do odpoczynku. Zgodnie z art kodeksu pracy pracownikowi przysługuje w każdej dobie prawo do co najmniej 11 godzin nieprzerwanego odpoczynku. Normę tę winni mieć na uwadze pracodawcy, a jeśli czas spędzony przez pracownika w drodze naruszałby czas przeznaczony na odpoczynek, pracodawca powinien udzielić pracownikowi równoważnego okresu odpoczynku, a jeśli nie byłoby to możliwe, powinien zapłacić odpowiedni ekwiwalent pieniężny.

17 Trudności interpretacyjne rozwiązuje orzecznictwo sądowe jedynie W wyroku z dnia 4 lipca 1978 r. (sygn. akt I PR 45/78, PiZS 1979/10/76) Sąd Najwyższy orzekł, że podczas podróży służbowej pracownik w zasadzie nie świadczy pracy i nie pozostaje w dyspozycji pracodawcy, chyba że podczas podróży wykonuje pracę. Podróż służbowa a nadgodziny

18 Z kolei z wyroku z dnia 27 października 1981 r. (sygn. akt I PR 85/81, OSNC 1982/5-6/76) wynika, że odbywanie podróży służbowej poza "czasem pracy" nie rodzi obowiązku wypłacenia pracownikowi dodatkowego wynagrodzenia lub udzielenia w zamian czasu wolnego. Jednak za czas podróży służbowej przypadający w godzinach, w których pracownik miał świadczyć pracę zgodnie z jego rozkładem czasu pracy, przysługuje wynagrodzenie. Także czasu podróży służbowej odbywanej w dniu wolnym od pracy nie zalicza się do czasu pracy, chyba że pracownik nie tylko podróżował, ale również świadczył pracę.

19 W powołanym wyżej wyroku z dnia 27 października 1981 r. Sąd Najwyższy stwierdził, że odbywanie podróży służbowej "poza czasem pracy" nie przekształca podróży w pracę ani w czas pracy. Jeżeli po zużyciu na podróż służbową całego swojego "czasu pracy" pracownik wykonuje jeszcze jakąś konkretną pracę, przysługuje mu za tę pracę wynagrodzenie i dodatek za pracę nadliczbową.

20 Zgodnie z uchwałą Sądu Najwyższego z dnia 8 grudnia 1976 r. (sygn. akt I PZP 59/76, OSP 1977/9/150), pracownikowi delegowanemu do innej miejscowości w końcowych godzinach dnia pracy, bądź bezpośrednio po ich zakończeniu, przysługuje wynagrodzenie za pracę wykonywaną w godzinach nadliczbowych. Do godzin tych wlicza się także czas przejazdu związany z wykonywaniem pracy. W wyroku z dnia 4 kwietnia 1979 r. (sygn. akt I PRN 30/79, OSNC 1979/10/202) Sąd Najwyższy stwierdził, że czas przejazdu pracownika do miejsca delegowania i z powrotem nie jest z reguły czasem pracy i za taki czas pracownikowi nie przysługuje dodatkowe wynagrodzenie. Jeżeli jednak celem podróży jest przewóz pracowników i pracownikowi zlecono - poza normalnym czasem pracy - dodatkowe obowiązki kierowcy, wówczas czas przejazdu oznacza jednocześnie czas pracy w godzinach nadliczbowych.

21 Oprócz wynagrodzenia za pracę delegowanym pracownikom przysługują świadczenia z tytułu podróży służbowych.

22 Świadczenia i rozliczanie kosztów Na podstawie art par. 1 k.p pracownikowi wyjeżdżającemu poza siedzibę pracodawcy przysługują należności na pokrycie kosztów, Są to: diety, zwrot kosztów dojazdów, noclegów, inne udokumentowane wydatki określone przez pracodawcę (np. parkingi, autostrada, itp.) Dieta wynosi 30 zł - ale tylko gdy więcej niż 8 godzin, od 8 do 12 godzin 50% diety, powyżej 12 godzin pełna

23 Pytania Uczestników

24 OCHRONA DANYCH OSOBOWYCH

25 Podstawy prawne Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jednolity: Dz. U r. Nr 101 poz. 926, z późn. zm.) Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006, Nr 203, poz. 1494) art ustawy Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923) art. 22a ustawy Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) art. 39a ustawy Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536) art. 46a ustawy. 25

26 Normy międzynarodowe Konstytucja RP Konwencja nr 108 Rady Europy dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych Dyrektywa PE i RE z r. (95/46/EC) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 Nr 101 poz. 926 tekst jednolity z późniejszymi zmianami ) 26

27 Przepisy resortowe Ustawa z dnia 7 września 1991 r. o systemie oświaty ( Dz. U. 2004, nr 256, poz z późn. zm.) Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U nr 23, poz. 225 z późn. zm.) Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 20 lutego 2004 r. w sprawie warunków i trybu przyjmowania uczniów do szkół publicznych oraz przechodzenia z jednych typów szkół do innych (Dz. U nr 26, poz. 232 z późn. zm.) Ustawa z dnia 19 lutego 2004 r. o systemie informacji oświatowej (Dz. U. 2004, nr 49, poz. 463 z późn. zm.) Ustawa z dnia 26 stycznia 1982 Karta Nauczyciela (Dz. U nr 97 poz. 674 z późn. zm.). 27

28 KONSTYTUCJA RP art. 47 Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. art Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

29 Art Każdy ma prawo do ochrony dotyczących go danych osobowych Ustawa o ochronie danych osobowych 29

30 Art Każdy ma prawo do ochrony dotyczących go danych osobowych. 2. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Art. 1. Ustawa określa organizację i zasady działania systemu informacji oświatowej służącego uzyskiwaniu danych niezbędnych do prowadzenia polityki edukacyjnej państwa, podnoszenia jakości i upowszechniania edukacji oraz do usprawniania finansowania zadań oświatowych Zasada naczelna 30

31 Ustawa o ochronie danych osobowych Art Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. 2. (1) Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5. 31

32 WSZELKIE INFORMACJE (WIEDZA) Podstawy prawne definicje Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Indentyfikacyjne Nazwisko, imię, adres, wiek, wizerunek, podpis Pesel, NIP, telefon, mail, IP komputera Wrażliwe Pochodzenie rasowe, etniczne, stan zdrowia, wyznanie Nałogi, życie seksualne, orzeczenia sądowe i admin. Pozostałe Wykształcenie, stan majątkowy, tryb życia, nawyki, Wyniki w nauce, osiągnięcia sportowe, inne

33 Dane osobowe wyjaśnienie pojęcia imię nazwisko adres zamieszkania PESEL NIP numer i seria dowodu osobistego wykształcenie zawód płeć numer telefonu pochodzenie rasowe lub etniczne poglądy polityczne przekonania religijne lub filozoficzne przynależność wyznaniowa, partyjna lub związkowa stan zdrowia kod genetyczny nałogi życie seksualne skazania orzeczenia o ukaraniu mandaty, orzeczenia wydane przed sądem lub urzędem Dane zwykłe Dane wrażliwe (sensytywne, szczególnie chronione)

34 Pojęciem dane osobowe określamy wszelkie informacje dotyczące osób fizycznych, zidentyfikowanych lub możliwych do zidentyfikowania (art. 6 ust. 1), czyli takich, których tożsamość można określić bezpośrednio lub pośrednio, poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Praktycznie dane osobowe to 34

35 Przewarzanie danych osobowych wyjaśnienie pojęcia Przetwarzanie danych osobowych to wszystkie operacje, jakim poddawane są informacje, w szczególności: zbieranie (gromadzenie) przechowywanie udostępnianie zmienianie przekazywanie utrwalanie opracowywanie usuwanie (niszczenie, modyfikacja).

36 Podstawy prawne definicje Administrator danych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Administrator bezpieczeństwa informacji (ABI) - osoba nadzorująca stosowanie środków technicznych i organizacyjnych przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgoda osoby, której dane dotyczą oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

37 Przetwarzanie danych art. 23 Przetwarzanie danych jest dopuszczalne, gdy spełniona jest przynajmniej 1 z 5 przesłanek: 1. Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zgoda nie może być domniemana lub dorozumiana. CEL + ODBIORCY = ZGODA 2. Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Ustawa o ochronie danych osobowych określa jedynie ogólne zasady przetwarzania danych osobowych, zaś, gdy istnieją inne szczególne wobec ustawy przepisy prawa - mają one pierwszeństwo stosowania. 3. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. 4. Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. 5. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, np.: marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. 37

38 5) (25) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. 3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. W przypadku osób niepełnoletnich zgoda na przetwarzanie ich danych musi być udzielona przez opiekunów 38

39 Obowiązek informacyjny art.24 W przypadku zbierania danych od osoby, której te dane dotyczą Administrator danych jest zobowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku gdy Administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści swoich danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Podanych wyżej zasad nie stosuje się, jeżeli przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania lub jeżeli osoba, której dane dotyczą, posiada już te39 informacje.

40 Obowiązek staranności art.26 Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, Ilościowa Tylko dane konieczne do realizacji celu Czasowa Tylko tak długo jak trwa cel 40

41 Przetwarzanie danych art. 27 Przetwarzanie danych jest zabronione w przypadku danych (wrażliwych) ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie tych danych jest jednak dopuszczalne, jeżeli: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane41 dotyczą, i stwarza pełne gwarancje ich ochrony,

42 Za ich bezpieczeństwo odpowiedzialny jest administrator danych, którym jest szkoła lub dyrektor szkoły. On też decyduje o celach i środkach przetwarzania danych. Z przetwarzaniem danych osobowych w szkole związana jest odpowiedzialność administracyjnoprawna, karna, dyscyplinarna i cywilna. Praktycznie administrator danych to kto 42

43 OBOWIĄZKI ADMINISTRATORA DANYCH Art Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25.(obowiązek informacyjny) 43

44 Obowiązki Administratora danych Obowiązek prowadzenia dokumentacji

45 Aspekty praktyczne Dyrektor musi dysponować dwoma podstawowymi dokumentami: polityką bezpieczeństwa informacji oraz instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Mogą one mieć postać jednego dokumentu, musi on jednak zawierać elementy, które zostały określone w rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 45

46 Zabezpieczenia art a Art Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba, że sam wykonuje te czynności. Ważne: Wyrok WSA w Warszawie z 5 lipca 2012 r., sygn. akt II SA/Wa 630/12.. w każdej sytuacji, w której struktura organizacyjna administratora danych jest wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną. Ochrona danych osobowych w placówce oświatowej

47 Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Nakaz NIK i kontrole NIK-u i GIODO każdy nauczyciel winien znać procedurę ochrony danych osobowych! upoważnienie 47

48 Zabezpieczenia art a Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Art. 38 Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Art Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia

49 Zabezpieczenia art a Art. 39a Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych2014 danych. 49

50 Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji. 2. Do zadań administratora bezpieczeństwa informacji należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7. Administrator Bezpieczeństwa Informacji 50

51 Kim jest i jakie zadania ma ABI? 4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust Administratorem bezpieczeństwa informacji może być osoba, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. 6. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. 51

52 Rozporządzenie o ABI 8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia: 1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b, 2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2 - uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań. 52

53 Brak powołania ABI co wtedy? Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych. 53

54 Sprawozdanie ABI Art. 36c. Sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania; 2) imię i nazwisko administratora bezpieczeństwa informacji; 3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach; 4) datę rozpoczęcia i zakończenia sprawdzenia; 5) określenie przedmiotu i zakresu sprawdzenia; 6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych; 7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem; 8) wyszczególnienie załączników stanowiących składową część sprawozdania; 9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania; 10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji. 54

55 Zgłoszenie zbioru ADO czy ABI? Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a. Art a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust

56 Rozporządzenie - dokumentacja Rozporządzenie określa: 1 1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; 2) 3 1. Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". 2. Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej. 3. Dokumentację, o której mowa w 1 pkt 1, wdraża administrator danych. 56

57 Schemat dokumentacji PODSTAWY PRAWNE, ZASADY PRZETWARZANIA DANYCH ZAGROŻENIA, POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA - wykazy przetwarzanych zasobów - środki organizacyjne - środki techniczne INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

58 Polityka bezpieczeństwa Polityka bezpieczeństwa, o której mowa w 3 ust. 1 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) art. 39a ustawy, zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych2014 i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 58

59 Instrukcja systemu informatycznego Instrukcja, o której mowa w 3 ust. 1 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) art. 39a ustawy, zawiera w szczególności: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

60 Instrukcja systemu informatycznego Instrukcja, o której mowa w 3 ust. 1 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) art. 39a ustawy, zawiera w szczególności: sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych, o których mowa w pkt 4, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących 2014 do przetwarzania 60 Ochrona danych osobowych w placówce oświatowej danych.

61 Powierzenie przetwarzania Powierzenie przetwarzania danych osobowych Ochrona danych osobowych w placówce oświatowej

62 Powierzenie przetwarzania Art Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art , oraz spełnić wymagania określone w przepisach, o których mowa w art.39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. 5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art

63 Obowiązki Administratora danych Zgłaszanie zbiorów do ogólnokrajowego jawnego rejestru danych osobowych

64 Zbiory osobowe w placówkach Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów Rekrutacja Dziennik Wycieczki Pomoc PPP Kadry i płace ZUS SIO Komisja socjalna 2014 Najem sal Faktury Przelewy Księgowość 64

65 Zgłoszenia zbiorów art. 40, 41 Art. 40 Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. Art Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeśli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,

66 Zgłoszenia zbiorów art. 40, 41 Art Zgłoszenie zbioru danych do rejestracji powinno zawierać: 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art , 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego. Art Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych

67 Rejestr zbiorów art. 42 Art Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Rejestr powinien zawierać informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i Każdy ma prawo przeglądać rejestr, o którym mowa w ust Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych, z zastrzeżeniem ust Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1, zaświadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji

68 Zwolnienia zgłoszeń art. 43 Art Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjnorozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej,

69 Zwolnienia zgłoszeń art. 43 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

70 Uzasadnienie (źródło: giodo.gov.pl) Czy prowadzony w postaci papierowej rejestr przychodzących i wychodzących pism jest zbiorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych i czy podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych? Tak, gdyż jest to zbiór danych w rozumieniu ustawy o ochronie danych osobowych i podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Aby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy, wystarczające jest kryterium umożliwiające odnalezienie danych w zestawie. Możliwość wyszukiwania według jakiegokolwiek kryterium osobowego (np. imię. nazwisko, data urodzenia, PESEL) lub nieosobowego (data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych w rozumieniu art. 7 pkt 1 ustawy. Skoro zatem ustawa o ochronie danych osobowych ma zastosowanie do omawianego zbioru danych to zbiór taki podlegać będzie również obowiązkowi rejestracji u Generalnego Inspektora Ochrony Danych Osobowych, gdyż nie zachodzi żadna z okoliczności go zwalniających, wymienionych w art. 43 ust. 1 ustawy o ochronie danych osobowych

71 Uzasadnienie (źródło: giodo.gov.pl) Czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia zbiorów do rejestracji Generalnego Inspektora Ochrony Danych Osobowych? Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych obowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wyjątki w tym zakresie przewidziane są w art. 43 ust. 1 ustawy. Stosownie do pkt 4 powyższego artykułu, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Jeżeli zatem biblioteki prowadzone przez szkoły przetwarzają wyłącznie dane osób uczących się w nich, zatrudnionych w tych szkołach lub świadczących im usługi na podstawie umów cywilnoprawnych, to zwolnione są one z obowiązku zgłoszenia do rejestracji przedmiotowego zbioru danych. W przypadku, gdy w zbiorach takich znajdą się dane osób innych, niż wymienione w art. 43 ust. 1 pkt 4 ustawy, będą one podlegały obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi

72 Uzasadnienie (źródło: giodo.gov.pl) Czy dyrektor przedszkola ma obowiązek zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych rodziców przedszkolaków? Nie, gdyż ustawa o ochronie danych osobowych zwalnia administratorów danych takich zbiorów z obowiązku ich rejestracji. W myśl art pkt 4 uodo, z obowiązku rejestracji zbioru danych zwolnieni są m. in. administratorzy danych prowadzący zbiory danych osób u nich uczących się. Treść przepisów rozporządzenia Ministra Edukacji Narodowej z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji wskazuje, że dane rodziców, jako opiekunów prawnych, są przyporządkowane danym dzieciom, mają wobec nich charakter wtórny i są przetwarzane jedynie na potrzeby edukacji dzieci. A zatem, skoro w zbiorze przetwarzane są dane osób uczących się, a tak właśnie przepisy traktują dane uczęszczających do przedszkola dzieci, to zbiór ten nie podlega obowiązkowi zgłoszenia do rejestracji. Również zbiór rodziców i opiekunów prawnych dzieci, jako jedynie pomocniczy, ściśle związany ze zbiorem danych dzieci, traktowany jest jako zbiór zwolniony z obowiązku zgłoszenia GIODO do rejestracji

73 Uzasadnienie (źródło: giodo.gov.pl) Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych? Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje wyłączenie z rejestracji. Stosownie do przepisu art. 40 ustawy o ochronie danych osobowych, administrator danych jest co do zasady zobowiązany zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że zachodzi jedna z przesłanek zwalniających go z tego obowiązku, określonych w art. 43 ust. 1 tej ustawy. Ustawa o ochronie danych osobowych zwalnia z tego administratorów danych przetwarzanych np. w związku z zatrudnieniem u nich (art. 43 ust. 1 pkt 4 ustawy). Dotyczy to zbiorów aktualnych i byłych pracowników, a także kandydatów do pracy

74 Zwolnienia zgłoszeń art. 43 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na Urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności, 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego

75 Obowiązek zgłoszenia ABI Art. 46b. 1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. 2. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; 2) dane administratora bezpieczeństwa informacji: a) imię i nazwisko, b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; 3) datę powołania; 4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7. 75

76 Zgłoszenie 3. Zgłoszenie odwołania administratora bezpieczeństwa informacji powinno zawierać: 1) dane, o których mowa w ust. 2 pkt 1 i pkt 2 lit. a i b; 2) datę i przyczynę odwołania. 4. Na żądanie administratora danych lub administratora bezpieczeństwa informacji Generalny Inspektor wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. 5. Administrator danych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgłoszeniem, o którym mowa w ust. 2, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji. 76

77 Rejestr ABI Art. 46c. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, zawierający informacje, o których mowa w art. 46b ust. 2 pkt 1 i pkt 2 lit. a i c. Art. 46d. 1. Wykreślenie administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji następuje po powiadomieniu o jego odwołaniu albo w przypadku jego śmierci. 2. Generalny Inspektor z urzędu wydaje administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji, jeżeli: 1) administrator bezpieczeństwa informacji nie spełnia warunków określonych w art. 36a ust. 5 lub 7; 2) administrator bezpieczeństwa informacji nie wykonuje zadań określonych w art. 36a ust. 2; 3) administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji. 3. Do administratora danych będącego adresatem decyzji, o której mowa w ust. 2, nie stosuje się zwolnienia, o którym mowa w art. 43 ust. 1a. 77

78 Ponowne zgłoszenie ABI Art. 46e. 1. W przypadku ponownego zgłoszenia przez administratora danych do rejestracji Generalnemu Inspektorowi powołania administratora bezpieczeństwa informacji wykreślonego z rejestru administratorów bezpieczeństwa informacji na podstawie art. 46d ust. 2, Generalny Inspektor, w drodze decyzji administracyjnej: 1) wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, że nie zachodzą przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust. 2 pkt 1 i 2; 2) odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust. 2 pkt 1 i Do administratora danych, który ponownie zgłosił do rejestracji administratora bezpieczeństwa informacji wykreślonego na podstawie art. 46d ust. 2, zwolnienie z obowiązku rejestracji zbioru określone w art. 43 ust. 1a stosuje się po wpisaniu zgłoszonego administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji. Art. 46f. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji, o których mowa w art. 46b ust. 2 i 3, uwzględniając konieczność zapewnienia Generalnemu Inspektorowi informacji niezbędnych do prawidłowego realizowania jego zadań. 78

79 Zgłaszanie zbioru

80 dane osobowe mogą być umieszczane w aktach osobowych uczniów tylko, gdy jest to konieczne do prawnie uzasadnionych celów realizowanych przez szkoły i nie mogą być wykorzystywane w sposób sprzeczny z tymi celami, a także zgodnie z zasadą niedyskryminacji przy rejestracji informacji dotyczących wyznania uczniów stosować należy bardzo surowe podejście Dane osobowe dzieci 80

81 Dane o stanie zdrowia powinny być przetwarzane jedynie przez lekarzy lub te osoby, które bezpośrednio zajmują się uczniami jak nauczyciele czy inni pracownicy szkoły związani tajemnicą zawodową. Przetwarzanie tego typu danych może się odbywać na podstawie bądź to zgody przedstawicieli prawnych dzieci lub ze względu na żywotne interesy dziecka w nawiązaniu do życia szkolnego. Dane medyczne 81

82 Sankcje karne Sankcje karne nieprzestrzegania przepisów ustawy o ochronie danych osobowych

83 Sankcje karne Art. 12. Do zadań Generalnego Inspektora Ochrony Danych Osobowych w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych

84 Sankcje karne Art. 14. W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej inspektorami, mają prawo: 1) wstępu, w godzinach od 6 do 22, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, 2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, 4) przeprowadzania oględzin urządzeń, nośników oraz systemów 2014 informatycznych służących do przetwarzania danych, 5) zlecać sporządzanie ekspertyz i opinii. 84

85 Sankcje karne Art Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat

86 Sankcje karne Art. 50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku

87 Sankcje karne Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 2014

88 Zmiany w ustawie, od r. Stan obecny Koniecznoś ć powołania ABI Brak regulacji Brak regulacji Brak regulacji Brak regulacji Brak regulacji Po zmianach Możliwość powołania Administratora bezpieczeństwa informacji (ABI) Szczegółowe regulacje organizacyjne dot. powołania, odwołania ABI określono wprost w ustawie Administrator danych osobowych ADO, który nie powołał ABI musi sam nadzorować prowadzenie i aktualizację dokumentacji oraz zapewnić szkolenia ADO, który powołał ABI nie nadzoruje dokumentacji oraz nie musi zapewnić szkoleń (te zadania przejmuje ABI). ABI przeprowadza dla ADO tzw. Sprawdzania/kontrole, zgodnie z ustalonym/rocznym harmonogramem, zakończone sprawozdaniem. ABI może dokonywać sprawdzenia w placówce na polecenie GIODO (GIODO może też sam kontrolować). Sprawozdanie trafia do GIODO, jeśli sprawdzenie zlecił GIODO Prowadzenie rejestru ABI przez GIODO 88

89 Zmiany w ustawie, od r. Stan obecny Art lista zwolnień Art lista zwolnień Art.48 nieprecyzyjny Przepis przejściowy Przepis przejściowy Brak zadań ABI Brak zasad Po zmianach Dodatkowe zwolnienie. Nie zgłasza się zbiorów przetwarzanych papierowo, z wyjątkiem zbiorów zawierających dane wrażliwe Dodatkowe zwolnienie dla ADO, którzy powołali ABI. Nie zgłasza się zbiorów przetwarzanych elektronicznie, z wyjątkiem zbiorów zawierających dane wrażliwe (art u.o.d.o) Doprecyzowanie zasad przekazywania danych do państwa trzeciego ABI powołany na podstawie obecnych przepisów może pełnić funkcję do czasu zgłoszenia go do GIODO, nie dłużej jednak niż do Do postępowań rejestracyjnych nie zakończonych przed r. mają zastosowanie dotychczasowe przepisy Szczegółowe rozporządzenie określające zadania ABI Zasady organizacyjne dla ABI określone zostały wprost

90 PRZYKŁAD REJESTRACJI ZBIORU DANYCH 90

91 PRZYKŁAD REJESTRACJI ZBIORU DANYCH 91

92 PLATFORMA E-GIODO 92

93 WYKAZ ZGŁOSZONYCH ZBIORÓW DANYCH 93

94 Art Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjnorozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, WYŁĄCZENIA Z OBOWIĄZKU REJESTRACYJNEGO 94

95 ROZPORZĄDZENIE MSWIA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) ZABEZPIECZENIE DANYCH OSOBOWYCH 95

96 6. 1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: Podstawowy (wyłącznie dane osobowe zwykłe ) Podwyższony (dane osobowe wrażliwe ) Wysoki (system przetwarzający dane jest podłączony do sieci zewnętrznej Internet) ZABEZPIECZENIE DANYCH OSOBOWYCH 96

97 ZABEZPIECZENIE TECHNICZNE Wydzielenie przestrzeni w której przetwarzane są dane osobowe Obszar, w którym przetwarzane są dane osobowe (budynki, pomieszczenia, części pomieszczeń); zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności osób upoważnionych do przetwarzania danych zabezpieczenia techniczne drzwi i okien w pomieszczeniu alarm z powiadomieniem procedury pobierania i zdawania kluczy do pomieszczeń służbowych 97

98 Wydzielone pomieszczenie Szafy metalowe, sejfy Szafy biurowe zamykane na zamek kluczowy Dodatkowe zabezpieczenia: Referentki Plomby Pieczęcie Zabezpieczenie manualne 98

99 Polityka Bezpieczeństwa 4 ROZPORZĄDZENIE MSWIA z dnia 29 kwietnia 2004 r. Polityka bezpieczeństwa, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych ZABEZPIECZENIA ORGANIZACYJNE - Polityka bezpieczeństwa 99

100 Polityka bezpieczeństwa Policja 100

101 Polityka bezpieczeństwa 1. WPROWADZENIE 1.1 Podstawowe terminy użyte w niniejszym dokumencie 1.2 Zakres dokumentu Polityka Bezpieczeństwa 1.3 Cel przetwarzania danych osobowych w bazie systemu 1.4 Lokalizacja zbioru danych osobowych 1.5 Osoby odpowiedzialne za ochronę i eksploatację systemu Postępowania Sprawdzające 1.6 Zadania administratorów i użytkowników systemu 1.7 Odnośniki do innej dokumentacji związanej z bezpieczeństwem 1.8 Odnośniki do stosowanych standardów bezpieczeństwa 2. ZAGROŻENIA DLA ZBIORU DANYCH OSOBOWYCH 3. DEFINICJA WYMAGAŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH 4. ŚRODKI STOSOWANE DO OCHRONY BAZY DANYCH SYSTEMU 4.1 Ochrona fizyczna pomieszczenia, w którym przetwarzane są dane osobowe 4.2 Ochrona systemu i bazy danych Kontrola dostępu do systemu operacyjnego, w którym przetwarzany jest zbiór danych osobowych Kontrola dostępu do bazy danych aplikacji Postępowania Sprawdzające Stosowanie haseł dostępowych przez użytkowników systemu operacyjnego oraz aplikacji PS. 4.3 Usuwanie kont użytkowników 5. ARCHITEKTURA ZBIORÓW OSOBOWYCH 5.1 Struktura zbiorów danych osobowych 5.2 Opis aplikacji przetwarzającej dane osobowe 6. ZABEZPIECZENIE STANOWISKA KOMPUTEROWEGO PRZED DZIAŁANIEM ZŁOŚLIWEGO OPROGRAMOWANIA 6.1 Ochrona antywirusowa oraz ochrona przed złośliwym oprogramowaniem 7. ZARZĄDZANIE INCYDENTAMI BEZPIECZEŃSTWA 8. ZADANIA REALIZOWANE PODCZAS PRACY Z SYSTEMEM 9. SZKOLENIA 101

102 Instrukcja zarządzania systemem 5 ROZPORZĄDZENIE MSWIA z dnia 29 kwietnia 2004 r. Instrukcja zarządzania systemem Instrukcja zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania; 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; (data wprowadzenia, źródło danych, itp.) 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 102

103 Instrukcja zarządzania systemem 103

104 Instrukcja zarządzania systemem Spis Treści 1.Wprowadzenie i opis systemu 2.Procedura nadawania uprawnień i rejestracji użytkowników 3.Procedura określająca zasady ochrony, przydziału i zmiany haseł 4.Procedura rozpoczynania, zawieszania i kończenia pracy w systemie na stanowisku 5.Procedura tworzenia kopii zapasowej i ich przechowywania 6.Procedura usuwania danych osobowych ze zbioru 7.Procedura ochrony fizycznej stanowiska komputerowego przetwarzającego dane osobowe 8.Procedura bezpieczeństwa urządzeń 9.Procedura ochrony antywirusowej 10.Procedura zarządzania konfiguracją systemu 11.Procedura utrzymania ciągłości działania systemu 12.Procedura rozliczalności zadań 104

105 PRZYKŁADOWA PROCEDURA Wszyscy użytkownicy są zobowiązani do przestrzegania następujących zasad ochrony haseł: Hasło dostępu do konta użytkownika należy chronić przed ujawnieniem; W przypadku ujawnienia (kompromitacji) hasła należy niezwłocznie poinformować o tym fakcie administratora systemu celem jego zmiany; Użytkownik odpowiada za nieuprawnione ujawnienie swojego hasła; Hasło dostępu do aplikacji Postępowania Sprawdzające dla użytkownika winno zawierać minimum 6 znaków, natomiast dla administratora 8 znaków; Hasła w miarę możliwości powinny zawierać: małe i duże litery, cyfry oraz znaki (!@#$%^&*_+<>?~`) Hasło dostępu do konta użytkownika powinno być zmieniane co kwartał; Każde następne hasło powinno być różne od poprzednich; Zdefiniowanego dla systemu hasła nie należy wykorzystywać w innych systemach; Niedopuszczalne jest stosowanie identycznego hasła dla konta w systemie operacyjnym i systemie Postępowania Sprawdzające ; Instrukcja Zarządzania Systemem Postępowania Sprawdzające Data wprowadzenia: 2009 Procedura określająca zasady ochrony, przydziału i zmiany haseł Nr wersji procedury 1 Nr procedury: 2 Ilość stron: 1 105

106 Dziękuję za uwagę Jestem do Państwa dyspozycji : od stycznia w Komisji NSZZ Solidarność, w środy od 14-16, pod numerem telefonu : na blogu : kartanauczycielablog.pl pod em: karolina.sikorska@vp.pl 106

107