Ochrona i przetwarzanie danych osobowych w szkole najnowsze zmiany prawne

Transkrypt

1 Ochrona i przetwarzanie danych osobowych w szkole najnowsze zmiany prawne

2 Autorzy: Zespół autorów grupy wydawniczej oświata oraz Rafał Osajda Kierownik Marketingu i Sprzedaży: Julita Lewandowska-Tomasiuk Menedżer produktu: Paulina Krzyżanowska Redaktor Prowadzący Grupy Czasopism Oświata: Agnieszka Rumik Redaktor: Agnieszka Rumik ISBN Numer produktowy: 1BA47 Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Skład i łamanie: Raster studio Sulejówek, ul. Konopnickiej 46, tel Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, Warszawa tel , faks Niniejszy e-book chroniony jest prawem autorskim. Przedruk materiałów bez zgody wydawcy jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Zaproponowane w niniejszym poradniku wskazówki, porady i interpretacje dotyczą sytuacji typowych. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w poradniku wskazówek, przykładów, informacji itp. do konkretnych przypadków.

3 Spis treści 1. Dane osobowe informacje umożliwiające identyfikację osoby W szkołach i placówkach oświatowych różne zbiory danych osobowych 5 2. Obowiązki dyrektora szkoły związane z ochroną danych Przekazanie obowiązków i odpowiedzialności administratorowi bezpieczeństwa informacji Obowiązek zgłoszenia danych szczególnie chronionych bez zmian Zatrudnienie ABI umowa o pracę lub umowa cywilnoprawna Administrator i jego zastępca muszą posiadać odpowiednią wiedzę Powołanie i odwołanie ABI wymaga zgłoszenia do rejestru Obecnego ABI trzeba zgłosić do rejestru do 30 czerwca 2015 r Warto powołać ABI w dużych placówkach Za przetwarzanie, jak też ochronę danych osobowych w szkole nadal odpowiada dyrektor Dokumenty związane z ochroną danych osobowych, które musi mieć dyrektor szkoły Przetwarzanie danych osobowych Dane osobowe uczniów w dokumentacji przebiegu nauczania Dane osobowe uczniów w dzienniku lekcyjnym Dane osobowe rodziców i opiekunów w księdze ewidencji dzieci i uczniów Zwolnienie z obowiązku rejestracji zbioru danych uczniów i pracowników szkoły Umieszczanie danych osobowych uczniów i pracowników na stronie internetowej szkoły Na upublicznienie zdjęć uczniów i pracowników co do zasady trzeba mieć pisemną zgodę Upublicznienie informacji o laureatach szkolnych konkursów Wizytator ma prawo dostępu do dokumentacji szkolnej zawierającej dane osobowe Imienne zestawienie godzin nauczycieli nie powinno być upubliczniane Za naruszenie przepisów o ochronie danych osobowych grożą sankcje karne 38 3

4 WSTĘP Każdego dnia w szkołach i placówkach oświatowych przetwarza się dziesiątki danych osobowych. Jednak mało kto zdaje sobie przy tym sprawę, jak ważna jest ich ochrona i właściwe zabezpieczenie przed dostępem osób nieuprawnionych. Tymczasem pełna odpowiedzialność za przestrzeganie przepisów spoczywa na dyrektorze szkoły jako administratorze danych osobowych. Od stycznia 2015 roku dyrektor może część swoich obowiązków przenieść na administratora bezpieczeństwa informacji. Dzięki temu szkoła nie będzie musiała rejestrować ogromnej większości zbiorów danych osobowych, a dyrektor będzie miał mniej zadań do wykonania w obszarze ochrony danych osobowych. Co ważne, powołanie ABI nie zwalnia dyrektora z odpowiedzialności za przestrzeganie przepisów o ochronie danych osobowych gromadzonych i przetwarzanych w szkole oraz z obowiązku sporządzenia wymaganej prawem dokumentacji. 4

5 1. Dane osobowe informacje umożliwiające identyfikację osoby Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej uważa się za dane osobowe (art. 6 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, dalej: ustawa o ochronie danych osobowych). Natomiast osobą możliwą do zidentyfikowania jest osoba, której tożsamość da się określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden czynnik lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Jak widać, zawsze trzeba samemu określić, czy w danej sytuacji będziemy mieli do czynienia z danymi osobowymi W szkołach i placówkach oświatowych różne zbiory danych osobowych Zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów jest określany jako zbiór danych. Z całą pewnością szkoły i placówki oświatowe gromadzą tego typu dane uczniów, ich rodziców i opiekunów prawnych, pracowników i innych osób współpracujących. Przykładowo, nauczyciele gromadzą i przetwarzają dane osobowe zawarte w dziennikach zajęć lekcyjnych i pozalekcyjnych, arkuszach ocen, ewidencji bibliotecznej, ewidencji świadectw itp. Takich zbiorów w szkołach i placówkach oświatowych może być wiele, np.: Rejestr korespondencji przychodzącej. Rejestr ofert pracy w postaci tradycyjnej. Rejestr podań o pracę. Dokumentacja przetargowa z postępowań o zamówienia publiczne. Rejestr kontrahentów. Baza danych akademickiego biura karier. Akademickie biuro karier. Kartoteka czytelników. Klienci biura karier. Ewidencja danych osobowych czytelników biblioteki. Rejestr uczniów obwodu szkoły podstawowej realizujących obowiązek szkolny w innych szkołach. Stowarzyszenie edukacyjne. Darczyńcy akcja 1% dla szkoły. Wycieczki, obozy, świetlica. Wnioskodawcy ubiegający się o uzyskanie informacji publicznej. 5

6 Wnioski o przyjęcie dziecka do przedszkola. Karta zgłoszenia dziecka do przedszkola. Rejestr umów cywilnoprawnych w postaci tradycyjnej. Rejestr porozumień, umów najmu i użyczenia w postaci tradycyjnej. Upoważnienia do odbioru dzieci. 2. Obowiązki dyrektora szkoły związane z ochroną danych Zgodnie z ustawą o ochronie danych osobowych dyrektor szkoły pełni w szkole funkcje administratora danych osobowych (ADO) i w związku z tą funkcją jego zadaniami są: zapewnianie przestrzegania przepisów o ochronie danych osobowych, spełnienie przesłanek uprawniających do przetwarzania danych osobowych, obowiązek informacyjny, obowiązek korygowania danych, obowiązek zaprzestania przetwarzania danych w przypadku żądania zaprzestania lub sprzeciwu, obowiązek dołożenia szczególnej staranności przy przetwarzaniu danych, stworzenie wymaganej dokumentacji, obowiązki wynikające z zabezpieczenia przetwarzania danych (m.in. określenie środków technicznych i organizacyjnych, zidentyfikowanie zbiorów danych), obowiązek zgłoszenia (rejestracji) zbioru danych do GIODO lub prowadzenie samemu takiego rejestru, obowiązki wynikające z powierzenia przetwarzania danych. Dyrektor musi czuwać nad przestrzeganiem przepisów o ochronie danych osobowych. Nakładają one na administratora danych osobowych (w praktyce dyrektora szkoły) nowy obowiązek zapewnienie przestrzegania przepisów o ochronie danych osobowych, zwłaszcza przez: sprawdzanie zgodności przetwarzania danych osobowych z prawem, nadzór nad opracowaniem i aktualizowaniem dokumentacji opisującej sposób przetwarzania danych i stosowania środków ochrony danych, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych Przekazanie obowiązków i odpowiedzialności administratorowi bezpieczeństwa informacji Dyrektor szkoły ma możliwość zwolnienia się z ww. obowiązków przez powołanie administratora bezpieczeństwa informacji. Instytucja administratora bezpieczeństwa informacji (ABI) 6

7 jest obecna w przepisach od 2004 roku, do tej pory była traktowana przez administratorów danych nieco po macoszemu. Znowelizowane przepisy ustawy o ochronie danych osobowych, które obowiązują od 1 stycznia 2015 r., mają to zmienić. Administrator bezpieczeństwa informacji to osoba wyznaczana przez administratora danych osobowych do nadzorowania przestrzegania zasad ochrony danych osobowych. Wyznaczenie ABI nie jest obowiązkowe, administrator może to uczynić, ale może też sam wykonywać czynności związane z ochroną danych osobowych. Ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która weszła w życie 1 stycznia 2015 r., wprowadziła zmiany m.in. w ustawie o ochronie danych osobowych. Mają one na celu wzmocnić pozycję ABI, a także uregulować kwestie wymagań kwalifikacyjnych, które powinna spełniać osoba zajmująca to stanowisko. Administrator danych może powierzyć ABI wykonywanie innych obowiązków, pod warunkiem jednak że nie naruszy to prawidłowego wykonywania wymienionych zadań. Administrator danych osobowych może wyznaczyć też zastępcę ABI. W szkołach, w których zostanie powołany ABI, nie będzie trzeba już dokonywać zgłoszeń większości zbiorów danych osobowych do GIODO. Zgłoszenie ABI do GIODO następuje zgodnie z przepisami rozporządzenia Ministra Administracji i Cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934) na specjalnym wzorze. 7

8 ZGŁOSZENIE POWOŁANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH Data wpłynięcia zgłoszenia:... (wypełnia Generalny Inspektor Ochrony Danych Osobowych)* Część A. Oznaczenie administratora danych Nazwa administratora danych i adres jego siedziby albo nazwisko, imię i adres miejsca zamieszkania administratora danych oraz nr REGON jeżeli został nadany. 1. Administrator: 2. REGON: 3. Adres: ulica: nr domu: nr lokalu: kod pocztowy: miejscowość: Część B. Dane osobowe administratora bezpieczeństwa informacji i data jego powołania 1. Imię i nazwisko: 2. Numer PESEL lub gdy ten numer nie został nadany, nazwa i seria/nr dokumentu stwierdzającego tożsamość: PESEL: seria/nr dokumentu nazwa dokumentu tożsamości: tożsamości: 3. Adres do korespondencji, jeżeli jest inny niż wskazany w części A zgłoszenia: ulica: nr domu: nr lokalu: kod pocztowy: miejscowość: 4. Data powołania administratora bezpieczeństwa informacji: 8

9 Część C. Oświadczenie administratora danych o spełnieniu przez administratora bezpieczeństwa informacji warunków określonych w ustawie Oświadczam, że administrator bezpieczeństwa informacji wskazany w części B zgłoszenia**: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, nie był karany za umyślne przestępstwo, podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. (data, podpis i pieczęć administratora danych)* Objaśnienia: * Pola nie należy wypełniać, jeżeli zgłoszenie doręczone jest za pomocą środków komunikacji elektronicznej. ** W przypadku odpowiedzi twierdzącej należy zakreślić kwadrat literą X Obowiązek zgłoszenia danych szczególnie chronionych bez zmian W momencie powołania ABI administrator danych osobowych nie będzie miał obowiązku zgłaszania zbiorów danych zwykłych. Obowiązek zgłoszenia nadal będzie jednak obejmował tzw. dane szczególnie chronione (art. 27 ust. 1 ustawy o ochronie danych osobowych), tj. ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu, mandatów karnych i innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jeżeli zatem szkoła przetwarza którekolwiek z ww. danych, wówczas obowiązek rejestracji w tym zakresie będzie nadal istnieje (art. 27 ustawy o ochronie danych osobowych). 9

10 2.3. Zatrudnienie ABI umowa o pracę lub umowa cywilnoprawna Forma zatrudnienia ABI zależy od uznania dyrektora szkoły. Administrator może być bowiem zatrudniony na podstawie umowy o pracę, ale nic nie stoi na przeszkodzie zawarciu z nim cywilnoprawnej umowy o świadczenie usług albo zlecić to firmie z zewnątrz (outsourcing). Można też powierzyć obowiązki administratora osobie, która jest już zatrudniona w szkole (pod warunkiem że spełnia wymagania określone w ustawie patrz poniżej). Dyrektor powinien jednak uważać, aby w ten sposób nie naruszyć przepisów o czasie pracy i wynagrodzeniu za pracę w godzinach nadliczbowych. Zgodnie z przepisami ustawy o ochronie danych osobowych do zadań ABI należy: 1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych osobowych lub na polecenie GIODO, nadzorowanie opracowania i aktualizowania dokumentacji dotyczącej bezpieczeństwa przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. 2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów wymienionych w art 43 ust. 1 ustawy o ochronie danych osobowych. Zatrudniając ABI, należy pamiętać, że: w zakresie pełnienia swoich obowiązków musi podlegać on bezpośrednio dyrektorowi szkoły, wykonywanie przez niego innych obowiązków nie może naruszać prawidłowego wykonywania zadań ABI Administrator i jego zastępca muszą posiadać odpowiednią wiedzę Decydując się na powołanie ABI, trzeba pamiętać, że nowelizacja wprowadza dodatkowe wymogi dla osoby, która ma pełnić tę funkcję (a także jej ewentualnego zastępcy), tj.: 1) posiadanie pełnej zdolności do czynności prawnych, 2) korzystanie z pełni praw publicznych, 10

11 3) posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych, 4) niekaralność za przestępstwo popełnione z winy umyślnej (art. 36a ust. 5 ustawy o ochronie danych osobowych). Dyrektor powinien więc zażądać od kandydata informacji (nie sprecyzowano w przepisach, czy ma to być zaświadczenie, czy oświadczenie) o niekaralności oraz oświadczenia o posiadaniu pełnej zdolności do czynności prawnych i korzystaniu z pełni praw publicznych. Dotyczy to zarówno zamiaru zatrudnienia na podstawie umowy o pracę (art ustawy z 26 czerwca 1974 r. Kodeks pracy), jak i zawarcia umowy cywilnoprawnej (w takiej sytuacji w treści umowy warto wskazać, że ABI okazał zleceniodawcy odpowiednie dokumenty). W celu sprawdzenia, czy kandydat posiada odpowiednią wiedzę, można przeprowadzić rozmowę kwalifikacyjną. W praktyce właściwa weryfikacja wiedzy kandydata może okazać się problematyczna, tym bardziej że wymóg ten został sformułowany dość ogólnie, a wiedza z zakresu ochrony danych osobowych ma charakter specjalistyczny. Najlepiej przy wyborze kandydata na ABI kierować się doświadczeniem i referencjami oraz wykształceniem, np. studia podyplomowe Powołanie i odwołanie ABI wymaga zgłoszenia do rejestru Dyrektor szkoły, decydując się na powołanie ABI, musi w terminie 30 dni od dnia powołania zgłosić ten fakt do ogólnokrajowego rejestru ABI prowadzonego przez GIODO. W zgłoszeniu powołania konieczne jest wskazanie: oznaczenia szkoły, w tym również adresu siedziby i numeru REGON, danych powołanego ABI (imię i nazwisko, numer PESEL albo numer i nazwa dokumentu potwierdzającego tożsamość, jeżeli numeru PESEL nie nadano, adres do korespondencji, jeśli jest inny niż adres siedziby szkoły), daty powołania, oświadczenia, że powołany ABI spełnia przedstawione powyżej wymogi kwalifikacyjne oraz że jest podległy wyłącznie dyrektorowi szkoły (art. 46b ustawy o ochronie danych osobowych). Odwołanie ABI następuje w analogicznym trybie i terminie, przy czym w zgłoszeniu odwołania należy wskazać też jego przyczyny Obecnego ABI trzeba zgłosić do rejestru do 30 czerwca 2015 r. Jeżeli w szkole był powołany administrator bezpieczeństwa informacji na podstawie dotychczasowych przepisów, może on nadal pełnić swoją funkcję pod warunkiem zgłoszenia 11

12 go do rejestru GIODO do 30 czerwca 2015 r. W przeciwnym razie przestanie on pełnić swoją funkcję z mocy prawa Warto powołać ABI w dużych placówkach Nowelizacja ustawy o ochronie danych osobowych znacznie poszerzyła kompetencje administratora bezpieczeństwa informacji, zwłaszcza w zakresie weryfikacji legalności przetwarzania danych osobowych w szkole, a także prowadzenia wewnątrzszkolnego rejestru przetwarzanych danych. Przy podejmowaniu decyzji o powołaniu ABI należy wziąć pod uwagę, że rezygnacja z ABI, poza oszczędnością, poskutkuje również obciążeniem dyrektora szkoły kolejnymi obowiązkami o charakterze administracyjnym. Ponadto, trudność interpretacji przepisów o ochronie danych osobowych na tle funkcjonowania placówki oświatowej wiąże się ze zwiększeniem zagrożenia istotnego naruszenia prawa przez osobę odpowiedzialną za prawidłowe przetwarzanie danych. W szczególności dotyczy to większych placówek, gdzie przetwarzanie obejmuje znaczną ilość danych osobowych. Nieprawidłowości w tym zakresie mogą skutkować poniesieniem przez dyrektora odpowiedzialności karnej, powołanie ABI pomoże zaś ograniczyć ryzyko ich wystąpienia (art. 51, art. 52, art. 53, art. 54 ustawy o ochronie danych osobowych). Podejmując decyzję o powołaniu lub niepowoływaniu administratora, dyrektor powinien rozważyć ilość przetwarzanych danych osobowych w szkole, a przede wszystkim wziąć pod uwagę bezpieczeństwo danych, którymi administruje szkoła Za przetwarzanie, jak też ochronę danych osobowych w szkole nadal odpowiada dyrektor Niezależnie od powołania ABI będzie obowiązany nadal: stosować środki zapewniające ochronę przetwarzanych danych osobowych, prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki ochronne (ABI jedynie nadzoruje jej opracowanie i aktualizację), zapewniać kontrolę wprowadzania danych do wewnątrzszkolnych zbiorów danych osobowych, prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (art. 36 ust. 1 i ust. 2, art. 38, art. 39 ustawy o ochronie danych osobowych). ABI będzie się natomiast zajmował weryfikacją legalności przetwarzania danych i prowadzeniem wewnątrzszkolnego rejestru zbiorów danych osobowych. W tej sprawie opracowano projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. 12

13 3. Dokumenty związane z ochroną danych osobowych, które musi mieć dyrektor szkoły Zgodnie z przepisami ustawy o ochronie danych osobowych dyrektor szkoły musi posiadać dokumentację związaną z przetwarzaniem danych osobowych: politykę bezpieczeństwa danych osobowych (PBDO) (załącznik nr 1), instrukcja lub instrukcje zarządzania systemem informatycznym (załącznik nr 2), upoważnienie do przetwarzania danych osobowych i ich ewidencja oraz zobowiązanie do zachowania w tajemnicy danych osobowych i sposobu ich zabezpieczenia (załączniki nr 3 i 4). Czasami w niektórych sytuacjach może to być dokumentacja dotycząca zgody na przetwarzanie danych osobowych zgoda na przetwarzanie danych osobowych (załącznik nr 5). Przetwarzanie danych zgodnie z prawem wymaga, by osoba, której dane dotyczą, wyraziła na to zgodę, w formie oświadczenie woli. Jego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (art. 23 ustawy o ochronie danych osobowych). W szkołach i placówkach oświatowych gromadzone są dane osobowe pracowników, uczniów, rodziców, klientów, kontrahentów itp. Wszystkie te dane podlegają ochronie na zasadach określonych w ww. ustawie. Administratorami danych osobowych przechowywanych i przetwarzanych w szkołach i placówkach oświatowych są dyrektorzy tychże szkół i placówek. Inne osoby mogą przetwarzać dane osobowe wyłącznie na podstawie upoważnienia nadanego przez administratora danych (art. 37 ustawy o ochronie danych osobowych). 13

14 Załącznik 1 Polityka Bezpieczeństwa danych osobowych w Szkole. Opracował: 1. Podstawa prawna: 1.1. Art. 36 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.) i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). 2. Pojęcia: Ustawa rozumie się przez to ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.). Administrator danych osobowych (ADO) rozumie się przez to Dyrektora Administrator bezpieczeństwa informacji (ABI) osoba powołana zarządzeniem dyrektora, która odpowiada za bezpieczeństwo danych osobowych w systemie informatycznym szkoły oraz tradycyjnym systemie, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w których przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Dane osobowe w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzanie danych rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów. 14

15 System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Identyfikator użytkownika (login) ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. Hasło jest to ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. Uwierzytelnianie rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. 3. Wstęp Niniejszy dokument opisuje reguły dotyczące procedur zapewnienia bezpieczeństwa danych osobowych zawartych w systemach informatycznych, jak też dokumentacji tradycyjnej w szkole.. Opisane w nim reguły wyznaczają granice dopuszczalnego zachowania osób mających dostęp do dokumentacji tradycyjnej, jak również użytkowników systemów informatycznych wspomagających pracę w szkole. Dokument Polityka bezpieczeństwa w zakresie ochrony danych osobowych w szkole, zwany dalej Polityką bezpieczeństwa wskazuje sposoby postępowania przy przetwarzaniu danych osobowych, przechowywaniu, usuwaniu, jak też w przypadku stwierdzenia naruszenia zasad przetwarzania danych osobowych. 4. Ewidencja zbiorów i baz danych: 4.1. W szkole znajdują się zbiory bazy danych (informatyczne): Lp. Nazwa bazy Zawartość poszczególnych pól informacyjnych* 1. Ewidencja uczniów Imię, nazwisko, adres, imiona i nazwisko rodziców ( ) 2. Ewidencja rodziców (opiekunów prawnych) Imię, nazwisko, adres ( ) 3. Pomoc psychologiczno-pedagogiczna Imię, nazwisko, adres, imiona i nazwisko rodziców ( ) 4. Pomoc dydaktyczna Imię, nazwisko, udzielona pomoc ( ) 5. Pomoc specjalistyczna (zajęcia specjalistyczne) Imię, nazwisko, adres, udzielona pomoc ( ) 6. Pomoc społeczna (MOPS, stypendia, wyprawki, Imię, nazwisko ( ) bezpłatna szklanka mleka, obiady) 7. Arkusz organizacyjny szkoły Imię, nazwisko ( ) 8. Kadry Imię, nazwisko, adres ( ) 9. Żywienie dzieci Imię, nazwisko ( ) * Umieszcza się tutaj nazwy pól informacyjnych (zakres danych osobowych), tj. np. imię, nazwisko, adres. Dodatkowo powinno stworzyć się informacje powiązań między tymi polami w innych bazach (zbiorach). 15

16 4.2. W szkole znajdują się zbiory danych (tradycyjne): Lp. Nazwa bazy Zawartość poszczególnych pól informacyjnych* 1. Dzienniki lekcyjne, nauczania indywidualnego Imię, nazwisko, adres ( ) 2. Dzienniki zajęć pozalekcyjnych, specjalistycznych Imię, nazwisko ( ) 3. Dzienniki pedagoga, wychowawcy świetlicy Imię, nazwisko ( ) 4. Księgi uczniów, księgi dzieci Imię, nazwisko ( ) 5. Arkusze ocen Imię, nazwisko ( ) 6. Teczki akt osobowych Imię, nazwisko ( ) 7. Teczki nadzoru pedagogicznego, awansu zawodowego Imię, nazwisko ( ) 8. Teczki pedagoga, wychowawcy klasy Imię, nazwisko ( ) * Umieszcza się tutaj nazwy pól informacyjnych (zakres danych osobowych), tj. np. imię, nazwisk, adres. Dodatkowo powinno stworzyć się informacje powiązań między tymi polami w innych bazach (zbiorach). 5. Wykaz budynków, pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe: Lp. Budynek Rodzaj danych Miejsce przechowywania 1. ul.. Dzienniki lekcyjne Pokój nauczycielski (pok. 1), klucze dostępne tylko Dzienniki zajęć specjalistycznych Pokój nauczycielski (pok. 1), klucze dostępne tylko Dzienniki nauczania indywidualnego Pokój nauczycielski (pok. 1), klucze dostępne tylko Dzienniki zajęć pozalekcyjnych Pokój nauczycielski (pok. 1), klucze dostępne tylko Dzienniki wychowawcy świetlicy Pokój nauczycielski (pok. 1), klucze dostępne tylko Dokumentacja żywienia Pokój nauczycielski (pok. 1), klucze dostępne tylko Listy obecności Dostępne tylko pracowników Dokumentacja wychowawcy klasy Pokój nauczycielski (pok. 1), klucze dostępne tylko Dzienniki wychowawcy świetlicy Pokój nauczycielski (pok. 1), klucze dostępne tylko Dzienniki pedagoga Pokój pedagoga (pok. 3), klucze dostępne 16 Dziennik bibliotekarza tylko Biblioteka (pok. 28), klucze dostępne tylko Księgi ewidencji uczniów Sekretariat (pok. 14), klucze dostępne tylko na portierni

17 Lp. Budynek Rodzaj danych Miejsce przechowywania Księgi ewidencji dzieci Sekretariat (pok. 14), klucze dostępne tylko Teczki akt osobowych Sekretariat (pok. 14), klucze dostępne tylko Teczki nadzoru pedagogicznego Sekretariat (pok. 14), klucze dostępne tylko Teczki awansu zawodowego Sekretariat (pok. 14), klucze dostępne tylko Arkusze ocen Archiwum (pok. 45), sekretariat (pok. 14), klucze dostępne tylko i w kasie pancernej Dokumentacja opiekuńczo- -wychowawcza Sekretariat (pok. 14), klucze dostępne tylko Dokumentacja pomocy psychologiczno- -pedagogicznej (opinie, orzeczenia) Dokumentacja wychowawcy klasy Ewidencja uczniów przystępujących do sprawdzianu zewnętrznego Arkusz organizacyjny szkoły, kadry Dokumenty zarchiwizowane 6. Sposoby przetwarzania danych Sekretariat (pok. 14), klucze dostępne tylko Pokój nauczycielski (pok. 10), klucze dostępne tylko Sekretariat (pok. 14), klucze dostępne tylko Sekretariat (pok. 14), klucze dostępne tylko Archiwum (pok. 210), klucze dostępne tylko oraz w kasie pancernej Lp. Rodzaj danych/ miejsce przechowywania Sposób przetwarzania Osoba odpowiedzialna 1. Dzienniki lekcyjne Tradycyjny Wychowawca klasy, nauczyciel prowadzący Dzienniki zajęć specjalistycznych Dzienniki nauczania indywidualnego Tradycyjny Tradycyjny Nauczyciel prowadzący Nauczyciel prowadzący Zabezpieczenie Pokój nauczycielski (pok. 1), klucze dostępne tylko Pokój nauczycielski (pok. 1), klucze dostępne tylko Pokój nauczycielski (pok. 1), klucze dostępne tylko 17

18 Lp. Rodzaj danych/ miejsce przechowywania Dzienniki zajęć pozalekcyjnych Dzienniki wychowawcy świetlicy Dokumentacja żywienia Sposób przetwarzania Tradycyjny Tradycyjny Osoba odpowiedzialna Nauczyciel prowadzący Wychowawca świetlicy Zabezpieczenie Pokój nauczycielski (pok. 1), klucze dostępne tylko Pokój nauczycielski (pok. 1), klucze dostępne tylko Tradycyjny Intendent Pomieszczenie intendenta (pok. 21), klucze dostępne tylko Dzienniki pedagoga Tradycyjny Pedagog Pokój pedagoga (pok. 3), klucze dostępne tylko Ewidencja bibliotekarza Księgi ewidencji uczniów Księgi ewidencji dzieci Teczki akt osobowych Listy obecności pracowników Teczki nadzoru pedagogicznego Teczki awansu zawodowego Tradycyjny Bibliotekarz Biblioteka (pok. 28), klucze dostępne tylko Tradycyjny Tradycyjny Pracownik sekretariatu Pracownik sekretariatu Sekretariat (pok. 28), klucze dostępne tylko Sekretariat (pok. 28), klucze dostępne tylko Tradycyjny Kadrowa Sekretariat (pok. 28), klucze dostępne tylko Tradycyjny Kadrowa Sekretariat (pok. 28), klucze dostępne tylko Tradycyjny Pracownik sekretariatu Sekretariat (pok. 28), klucze dostępne tylko Tradycyjny Kadrowa Sekretariat (pok. 28), klucze dostępne tylko Arkusze ocen Tradycyjny Wychowawca klasy, pracownik sekretariatu Dokumentacja opiekuńczo- -wychowawcza Tradycyjny Pedagog, pracownik sekretariatu Archiwum (pok. 210), sekretariat, klucze dostępne tylko Sekretariat (pok. 12), klucze dostępne tylko 18

19 Lp. Rodzaj danych/ miejsce przechowywania Dokumentacja pomocy psychologiczno- -pedagogicznej (opinie, orzeczenia) Dokumentacja wychowawcy klasy Ewidencja uczniów prowadzona na potrzeby sekretariatu Ewidencja uczniów przystępujących do sprawdzianu zewnętrznego Ewidencja zasobów szkoły Arkusz organizacyjny szkoły, kadry Podania osób ubiegających się o pracę Dokumenty zarchiwizowane Sposób przetwarzania Tradycyjny Tradycyjny Przy użyciu systemu informatycznego program Office (Word, Excel) Przy użyciu systemu informatycznego Przy użyciu systemu informatycznego Przy użyciu systemu informatycznego Osoba odpowiedzialna Pedagog, pracownik sekretariatu Wychowawca klasy Pracownik sekretariatu Pracownik sekretariatu Pracownik sekretariatu Pracownik sekretariatu, kadrowa Tradycyjny Kadrowa Tradycyjny Pracownik sekretariatu Zabezpieczenie Sekretariat (pok. 12), klucze dostępne tylko Pokój nauczycielski (pok. 10), klucze dostępne tylko Sekretariat (pok. 12), klucze dostępne tylko Sekretariat (pok. 12), klucze dostępne tylko Sekretariat (pok. 12), klucze dostępne tylko Sekretariat (pok. 12), klucze dostępne tylko Archiwum (pok. 210), klucze dostępne tylko oraz w kasie pancernej 7. Przepływ danych pomiędzy poszczególnymi systemami: Program I Przepływ Program II PRO1 PRO2 PRO1 PRO3 PRO1 PRO4 PRO3 PRO2 PRO3 PRO4 PRO2 PRO4 19

20 8. Określenie środków organizacyjnych technicznych i fizycznych Zabezpieczenie danych osobowych to praktyki, procedury i rozwiązania techniczne zmniejszające ryzyko, chroniące przed zagrożeniami, wykrywające niepożądane incydenty i ułatwiające odtwarzanie poprawnego stanu systemów. Skuteczna ochrona danych osobowych wymaga zwykle zespolenia różnych zabezpieczeń w celu utworzenia właściwej ochrony dla wszystkich zasobów stanowiących zbiory danych i zależy od jednoczesnego spełnienia wszystkich warunków dotyczących organizacji pracy, kwestii kadrowych, zabezpieczenia obiektu i pomieszczeń, prawidłowej eksploatacji sprzętu i infrastruktury teleinformacyjnej oraz stosownego oprogramowania. Część danych zbiorów danych osobowych przetwarzana jest w systemie informatycznym, a część tradycyjnie. Aktywa systemu to całość zasobów materialnych i niematerialnych mająca wartość dla szkoły i podlegająca zabezpieczeniu, w tym wszelkie dane. Poprzez aktywa należy rozumieć wszystko, co podlega ochronie: sprzęt komputerowy serwery, komputery, drukarki i inne urządzenia, okablowanie telekomunikacyjne oraz urządzenia sieci telekomunikacyjnej, oprogramowanie kody źródłowe, programy, systemy operacyjne, dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie, hasła użytkowników, pliki dziennych operacji systemowych (logi) i baz danych, kopie zapasowe danych i archiwa, środki i urządzenia do ich przechowywania, użytkownicy i administratorzy, którzy obsługują system i go używają, dokumentacja zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje itp., wszelkie urządzenia niekomputerowe do przetwarzania (gromadzenia, przechowywania itp.) danych osobowych w każdej formie Środki fizyczne Zabezpieczenia fizyczne polegają przede wszystkim na zamykaniu i plombowaniu szaf oraz pomieszczeń, w których znajdują się elementy zbiorów danych osobowych oraz urządzenia przetwarzania poza systemem: nośniki danych zawierające dane osobowe, w tym również w postaci papierowej. Stosowana jest ochrona pomieszczeń z wykorzystaniem służb ochrony licencjonowanej firmy zewnętrznej. Zabezpieczenia zbioru danych i systemów informatycznych dotyczą również środowiska fizycznego, na wypadek katastrof i awarii (instalacja przeciwpożarowa, zasilanie energetyczne, podtrzymanie zasilania serwerów, klimatyzacja itp.) oraz zabezpieczeń przed fizycznym wtargnięciem osoby niepowołanej (konstrukcja budynku, ochrona obiektu, strefy przebywania osób postronnych, systemy alarmowe, drzwi, okna itp.). 20

21 8.2. Środki techniczne Środki techniczne stosowane przy przetwarzaniu danych osobowych w systemie informatycznym (komputerach, serwerach) są związane z właściwą konfiguracją systemu operacyjnego, oprogramowania, stosowaniem odpowiednich praw dostępu do systemu operacyjnego i programów itp. Komputery i oprogramowanie, w których przetwarzane są dane osobowe, zapewniają autoryzację osób pracujących z danym systemem przez niepowtarzalny identyfikator (login) w ramach systemu, przypisany tylko jednemu użytkownikowi, i hasło. Systemy informatyczne posiadają wyznaczonego administratora odpowiedzialnego za prawidłowość ich funkcjonowania i stosowanie środków ochrony danych osobowych. Obowiązki ASI (administratora systemów informatycznych) pełni informatyk. Do stałych zadań ASI należy: zapewnienie prawidłowego i bezpiecznego przetwarzania danych, monitorowanie zmian środowiska, w tym pojawienie się nowych zagrożeń, zarządzanie konfiguracją systemu i urządzeń, reagowanie na incydenty w zakresie bezpieczeństwa, zapewnienie właściwej konfiguracji mechanizmów kontroli dostępu w systemie. ASI ponosi odpowiedzialność za: nadzór nad instalowaniem nowego oprogramowania na serwerach i stacjach roboczych, wykonywanie kopii zabezpieczających system, aplikacje i dane, nadzór nad pracami serwisowymi przeprowadzanymi przez serwis zewnętrzny (obcy). Kopie zabezpieczające sporządzane są wg harmonogramu ustalonego dla każdego systemu informatycznego (regulują to osobne procedury dołączone do Polityki i instrukcji). Powinno istnieć nie mniej niż 5 zestawów kopii zapisywanych codziennie. Wszystkie komputery osobiste są sprawdzane za pomocą aktualnej wersji programu antywirusowego. Weryfikacja jest dokonywana na bieżąco, raz w tygodniu przeprowadzane jest pełne skanowanie twardych dysków. Definicje wirusów aktualizowane są na bieżąco. Osoby zatrudnione przy przetwarzaniu danych osobowych mają dostęp do niszczarki dokumentów w celu niszczenia błędnie utworzonych lub niepotrzebnych dokumentów i wydruków komputerowych z danymi osobowymi. Bezpieczeństwo przetwarzania danych w sposób tradycyjny, tj. papierowo, jest realizowane poprzez zamykanie i plombowanie szaf i drzwi. Odpowiedzialni są pracownicy Środki organizacyjne W szkole jest wyznaczony ABI. Jego uprawnienia i obowiązki, w zależności od potrzeb i zaistniałej sytuacji w uzgodnieniu i z upoważnienia dyrektora szkoły obejmują m.in.: 21

22 sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych osobowych i na zlecenia GIODO, tworzenie, aktualizację, modyfikację i wdrażanie polityki bezpieczeństwa danych i instrukcji systemu informatycznego oraz procedur z nimi związanych, kontrolę poprawności stosowania przez użytkowników obowiązujących zasad i procedur, nadzór nad prowadzoną przez administratorów systemu kontrolą użytkowników danej aplikacji użytkowej, nadzór nad wykonywaniem zadań przez administratora systemu informatycznego, kontrolę zgodności poziomu zabezpieczeń z określoną polityką bezpieczeństwa, weryfikację procedur udzielania dostępu do danych i systemu informatycznego, udział w tworzeniu i testowaniu planu postępowania w przypadku awarii lub naruszenia zasad ochrony, podejmowanie działań w przypadku wykrycia naruszeń w systemie bezpieczeństwa, weryfikację okresowych przeglądów zabezpieczeń systemu i istniejących procedur, zapewniających bezpieczeństwo danych, prowadzenie szkoleń z ochrony danych osobowych nowo zatrudnionych pracowników i okresowo (raz w roku) wszystkich pracowników. Przed dopuszczeniem nowego pracownika do pracy musi on otrzymać upoważnienie do przetwarzania danych osobowych. Zobowiązany jest też do podpisania zobowiązania o zachowaniu w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia. Przedmiotowe wymogi dotyczą też stażystów. 9. Wykaz załączników: 1).. 2).. 3).. 4).. 5).. 6).. 22

23 Załącznik 2 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w szkole. Opracował: Spis treści 1. Wstęp 2. Podstawy prawne. 3. Nadawanie uprawnień do przetwarzania danych oraz ich rejestrowanie w systemie informatycznym 4. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy 6. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi służących do ich przetwarzania 7. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych 8. Sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 9. Udostępnianie danych osobowych i sposób odnotowania informacji o udostępnionych danych 10. Wykonywanie przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych 11. Ustalenia końcowe Wstęp Niniejsza instrukcja dotyczy każdego zbioru danych osobowych przetwarzanego w szkole. zarówno w formie papierowej jak i elektronicznej. Aktualny wykaz przetwarzanych zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, ich lokalizacją znajduje się w dokumencie Polityka bezpieczeństwa Szkoły. 23

24 Podstawa prawna: art. 36 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.). 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). 1. Nadawanie uprawnień do przetwarzania danych oraz ich rejestrowanie w systemie informatycznym Do obsługi systemu informatycznego służącego do przetwarzania danych osobowych może być dopuszczona wyłącznie osoba posiadająca nadane przez administratora danych osobowych upoważnienie do przetwarzania danych osobowych. Upoważnienia do przetwarzania danych osobowych przechowywane są w teczkach akt osobowych pracowników oraz prowadzona jest ich ewidencja. Dostęp do danych osobowych przetwarzanych w systemie informatycznym może zaistnieć wyłącznie po: wprowadzeniu identyfikatora (loginu) użytkownika i właściwego hasła w przypadku obsługi programów, podaniu właściwego loginu i hasła dostępu do stanowiska komputerowego w odniesieniu do obsługi programów,... Dla każdego użytkownika systemu informatycznego, który przetwarza dane osobowe, ASI (lub informatyk) ustala niepowtarzalny identyfikator i hasło początkowe. Identyfikator użytkownika nie powinien być zmieniany, a login użytkownika po unieważnieniu z systemu informatycznego nie powinien być ponownie przydzielany innej osobie. W sytuacji cofnięcia uprawnień do dostępu do danych osobowych w systemie informatycznym identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych w szkole, należy niezwłocznie unieważnić z systemu informatycznego. Należy również unieważnić jej hasło. Odpowiedzialny za realizację procedury rejestrowania i wyrejestrowywanie użytkowników w systemie informatycznym jest ASI (lub informatyk). 2. Metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem Dane osobowe są w szkole przetwarzane z użyciem serwerów, komputerów stacjonarnych i laptopów. Hasło użytkownika powinno mieć minimum 8 znaków i być zmieniane w przypadku: systemu operacyjnego co 30 dni, programu PRO1, PRO2 zmiana hasła dostępu do stanowiska komputerowego co 28 dni. 24

25 Hasło użytkownika zawiera co najmniej 8 znaków i oprócz znaków będących małymi i dużymi literami winno zawierać cyfry i znaki specjalne. Hasło powinno być tak zbudowane, aby nie można było go kojarzyć z użytkownikiem komputera np. hasłami nie mogą być dane osobiste (nazwisko, inicjały, imiona, data urodzin własna, dziecka lub małżonka, imię domowego zwierzaka), ciąg znaków następujących po sobie (np , abcdefg, abc123, qwert) lub będących ciągiem takich samych znaków ( , ) itp. Zapisane hasło nie może być umieszczane w miejscu widocznym, tak aby nie mogły mieć do niego dostępu osoby nieuprawnione. Użytkownikowi nie wolno udostępnić swojego loginu i hasła (również innym pracowniom), jak również dopuszczać osób nieuprawnionych do stanowiska roboczego po uwierzytelnieniu w systemie. Raz przypisany urzędnikowi login nie może być przydzielony innemu użytkownikowi lub po przerwie (przerwa w zatrudnieniu) w pracy temu samemu pracownikowi. W przypadku gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła. Nowo przyjęty pracownik po przydzieleniu loginu i hasła pierwszego logowania zobowiązany jest do jego zmienienia przy pierwszym logowaniu się do systemu. 3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy Rozpoczęcie pracy użytkownika w systemie informatycznym następuje po poprawnym uwierzytelnieniu (zalogowaniu się do systemu). Zakończenie pracy użytkownika następuje po poprawnym wylogowaniu się z systemu oraz poprzez uruchomienie odpowiedniej dla danego systemu operacyjnego opcji jego zamknięcia. Niedopuszczalne jest zakończenie pracy w systemie bez wykonania wylogowania się z aplikacji. Monitory stanowisk komputerowych, na których przetwarzane są dane osobowe, znajdujące się w pomieszczeniach, gdzie mogą przebywać osoby nieupoważnione do przetwarzania danych osobowych, należy ustawić w taki sposób, aby uniemożliwić im wgląd w monitor komputera. Użytkownik ma obowiązek wylogowania się w przypadku zawieszenia pracy. Stanowisko komputerowe nie może pozostać z włączonym i dostępnym systemem bez nadzoru pracującego na nim pracownika. Wygaszacze monitorów są tak ustawione, że po 10 min bezczynności się włączają i następuje blokada ekranu, którą można odblokować tylko przez wprowadzenie hasła użytkownika. Przebywanie osób nieuprawnionych w pomieszczeniach znajdujących się na obszarze, w którym są przetwarzane dane osobowe, jest dopuszczalne tylko w obecności osoby upoważnionej do ich przetwarzania. Pomieszczenia, w których przetwarzane są dane osobowe, należy zamykać, na czas nieobecności osób zatrudnionych, w sposób uniemożliwiający dostęp do nich osobom trzecim. 25

26 Użytkownik niezwłocznie powiadamia administratora bezpieczeństwa informacji w przypadku podejrzenia ingerencji w przetwarzane dane osobowe lub użytkowane narzędzia programowe albo sprzętowe. Wówczas użytkownik jest zobowiązany do natychmiastowego wyłączenia sprzętu. 4. Postępowanie z wydrukami Wydruki zawierające dane osobowe należy przechowywać w miejscu uniemożliwiającym do nich dostęp osobom postronnym. Wydruki niepotrzebne należy zniszczyć w niszczarce dokumentów. Drukarki należy ustawić w pomieszczeniu, do którego nie będzie miała dostępu osoba nieuprawniona. 5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi służących do ich przetwarzania Zbiory danych w systemie informatycznym są zabezpieczane przed utratą lub uszkodzeniem za pomocą: urządzeń zabezpieczających przed awarią zasilania lub zakłóceniami w sieci zasilającej, sporządzania kopii zapasowych zbiorów danych (wykonywanie kopii pełnych). Za tworzenie kopii bezpieczeństwa systemu informatycznego odpowiedzialny jest ASI (lub informatyk). Pełne kopie zapasowe zbiorów danych są tworzone co najmniej raz w miesiącu. W przypadku aktualizacji lub dokonywania zmian w systemie należy obowiązkowo wykonać kopię zapasową systemu. Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia. Za przeprowadzanie tej procedury odpowiedzialny jest ASI (lub informatyka). Nośniki danych po ustaniu ich użyteczności należy pozbawić danych lub zniszczyć w sposób uniemożliwiający odczyt danych. 6. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych Okresowe kopie zapasowe wykonywane są na zewnętrznym dysku twardym. Kopie zapasowe przechowuje się w kasie pancernej w pomieszczeniu sekretariatu szkoły, w sposób uniemożliwiający nieuprawnione ich zabranie, modyfikacje, uszkodzenie lub zniszczenie. Dodatkowe kopie przechowywane są w budynku urzędu gminy. Kopie te wymienia się na nowe wersje raz na miesiąc. Dostęp do nośników z kopiami danych osobowych ma wyłącznie administrator bezpieczeństwa informacji. 26

27 Kopie miesięczne przechowuje się przez okres 6 miesięcy. Wykonywane co 2 miesiące kopie systemu kadrowego przechowuje się przez 50 lat. Kopie zapasowe należy bezzwłocznie usuwać po ustaniu ich użyteczności. W przypadku kopii zapasowych sporządzanych indywidualnie przez użytkownika odpowiedzialny za ich zniszczenie jest użytkownik. Przez zniszczenie nośników informacji rozumie się ich trwałe i nieodwracalne zniszczenie do stanu niedającego możliwości ich rekonstrukcji i odzyskania danych. Nośniki danych niszczone są w miarę potrzeb przez firmę, z którą szkoła ma podpisaną w tym celu odpowiednią umowę. Odpowiedzialny za zniszczenie nośników przez firmę. jest administrator bezpieczeństwa informacji zgodnie z procedurą dotyczącą niszczenia zużytych nośników złącznik nr.. Nie tworzy się kopii programów komputerowych i systemów operacyjnych. W razie potrzeby pozyskuje się ze strony internetowej producenta odpowiednią wersję potrzebnego oprogramowania i instaluje się je na stanowisku komputerowym. 7. Sposób zabezpieczenia systemu informatycznego przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego W związku z istnieniem zagrożenia dla zbiorów danych osobowych ze strony złośliwego oprogramowania, którego celem jest m.in. uzyskanie nieuprawnionego dostępu do systemu informatycznego, konieczna jest ochrona sieci komputerowej i stanowisk komputerowych w szkole. Każdy użytkownik pracuje na stanowisku komputerowym, logując się na koncie z ograniczonymi uprawnieniami (konto użytkownika), na którym nie może dokonać samodzielnie instalacji oprogramowania. Konto z uprawnieniami administratora przysługuje tylko ASI (lub informatykowi) zatrudnionemu w szkole. Wirusy komputerowe mogą rozpowszechniać się w systemach szkoły przez: Internet (poczta elektroniczna i strony internetowe, pobrane pliki), nośniki informacji, takie jak: dyskietki, płyty CD i DVD, pendrive y itp. Przeciwdziałanie zagrożeniom ze strony złośliwego oprogramowania realizowane jest w następujący sposób: Komputery muszą mieć zainstalowany program antywirusowy, a w przypadku komputerów z dostępem do Internetu również posiadać oprogramowanie i mechanizmy zabezpieczające przed nieautoryzowanym dostępem z sieci (firewall). Zainstalowany program antywirusowy powinien być tak skonfigurowany, by co najmniej raz dziennie dokonywał aktualizacji bazy wirusów oraz co najmniej raz w tygodniu dokonywane było automatycznie sprawdzenie komputera pod kątem obecności wirusów komputerowych. Elektroniczne nośniki danych takie jak dyskietki, dyski przenośne, pendrive y należy każdorazowo sprawdzać programem antywirusowym przed ich użyciem. Czynność powyższą 27

28 realizuje użytkownik. W przypadku problemów ze sprawdzeniem zewnętrznego nośnika danych użytkownik jest zobowiązany zwrócić się z tym do ASI (lub informatyka). W przypadku gdy użytkownik stanowiska komputerowego zauważy komunikat oprogramowania antywirusowego lub zapory wskazujący na możliwość zaistnienia zagrożenia, zobowiązany jest zaprzestać jakichkolwiek czynności w systemie i niezwłocznie skontaktować się z ASI (lub informatykiem). Przy korzystaniu z poczty elektronicznej należy zwrócić szczególną uwagę na otrzymywane załączniki dołączane do treści wiadomości. Zabrania się otwierania załączników od nieznanych nadawców. Zabrania się użytkownikom komputerów wyłączania, blokowania, odinstalowywania programów zabezpieczających komputer (skaner antywirusowy, firewall) przed oprogramowaniem złośliwym oraz nieautoryzowanym dostępem. Zabrania się ściągania się na komputery i nośniki danych oprogramowania z Internetu. Zabrania się nieautoryzowanego instalowania własnego oprogramowania na służbowych komputerach. 8. Wykonywanie przeglądów i konserwacji systemu oraz nośników informacji służących do przetwarzania danych Przeglądy i konserwacje systemu oraz zbiorów danych wykonuje na bieżąco administrator bezpieczeństwa informacji wraz z administratorem systemu informatycznego (ASI) (lub informatyk). Umowy dotyczące instalacji i konserwacji sprzętu należy zawierać z podmiotami, które gwarantują wykonanie prawidłowo usług. Naprawy sprzętu należy zlecać podmiotom, które gwarantują właściwe wykonanie usług. Naprawa sprzętu, na którym mogą znajdować się dane osobowe, powinna odbywać się pod nadzorem administratora bezpieczeństwa informacji lub ASI (lub informatyk) w miejscu jego użytkowania. W przypadku konieczności naprawy w serwisie sprzęt komputerowy przed oddaniem do serwisu powinien być odpowiednio przygotowany. Dane należy zarchiwizować na zewnętrzne nośniki danych, a dyski twarde bezwzględnie wymontować na czas naprawy lub trwale usunąć z nich dane. Zmiana konfiguracji sprzętu komputerowego, na którym znajdują się dane osobowe, lub zmiana jego lokalizacji, może być dokonana tylko za wiedzą i zgodą administratora bezpieczeństwa informacji. 9. Ustalenia końcowe Osobom korzystającym z systemu informatycznego, w którym przetwarzane są dane osobowe w szkole, zabrania się: ujawniania loginu i hasła współpracownikom i osobom z zewnątrz, pozostawiania haseł w miejscach widocznych dla innych osób, udostępniania stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym, 28

29 przenoszenia programów komputerowych, dysków twardych z jednego stanowiska na inne bez zgody ASI (lub informatyka), kopiowania danych na nośniki informacji, kopiowania na prywatne komputery celem wynoszenia ich poza szkołę, samowolnego instalowania i używania jakichkolwiek programów komputerowych, w tym również programów do użytku prywatnego; programy komputerowe instalowane są przez ASI (lub informatyka), używania nośników danych udostępnionych przez osoby postronne, przesyłania dokumentów i danych z wykorzystaniem prywatnej poczty elektronicznej, otwierania załączników i wiadomości poczty elektronicznej od nieznanych nadawców, używania nośników danych prywatnych, niesprawdzonych, niewiadomego pochodzenia. W sytuacji gdy zaistniała konieczność użycia niesprawdzonych przenośnych nośników danych, należy przeskanować je programem antywirusowymi, a w razie jakichś ostrzeżeń wyświetlonych przez program antywirusowy zgłosić to ASI (lub informatykowi). Użytkownikowi nie wolno: wyrzucać wydruków zawierających dane osobowe do ogólnie dostępnych koszów na śmieci (wydruki zawierające dane osobowe mogą być niszczone tylko w niszczarce), pozostawiać wydruków, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach, pozostawiać dokumentów na biurku po zakończonej pracy, pozostawiać otwartych dokumentów na ekranie monitora bez blokady klawiatury. Użytkownik zobowiązany jest do: posługiwania się własnym loginem i hasłem w celu uzyskania dostępu do systemów informatycznych, tworzenia haseł trudnych do odgadnięcia dla innych, używania konta służbowego tylko w celach służbowych, nieprzerywania procesu skanowania przez program antywirusowy na komputerze, wykonywania kopii zapasowych danych przetwarzanych na stanowisku komputerowym (pliki MS Office), zabezpieczenia sprzętu komputerowego przenośnego (laptopy) przed kradzieżą zniszczeniem lub nieuprawnionym dostępem do danych. Wszelkie przypadki naruszenia niniejszej Instrukcji należy zgłaszać administratorowi bezpieczeństwa informacji lub bezpośredniemu przełożonemu. Dane kontaktowe Administrator bezpieczeństwa informacji, nr tel.:, Administrator systemu informatycznego (lub informatyka), nr tel.:, . 29

30 Załącznik nr 3... (pieczęć jednostki organizacyjnej). (miejscowość, data) UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH Na podstawie art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.) upoważniam:... (imię i nazwisko) zatrudnionego na stanowisku... w... (nazwa szkoły) do przetwarzania danych poprzez dokonywanie następujących czynności*: pozyskiwanie, zapisywanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, kopiowanie, drukowanie, inne czynności: i obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych w zakresie:... (wskazanie zbiorów danych, których dotyczy upoważnienie)... (podpis i pieczęć administratora danych) * Niepotrzebne skreślić. 30

31 Załącznik nr 4... (pieczęć jednostki organizacyjnej). (miejscowość, data) ZOBOWIĄZANIE Na podstawie art. 39 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.) zobowiązuję Panią/Pana* do zachowania w tajemnicy danych osobowych, z którymi zapoznał*a się Pani/Pan*, wykonując obowiązki służbowe, oraz sposobów ich zabezpieczenia.... (podpis pracownika) * Niepotrzebne skreślić. Załącznik (miejscowość i data) ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH Niniejszym wyrażam zgodę na przetwarzanie przez:... (pełna nazwa szkoły, adres) moich następujących danych osobowych: (należy podać, jakie dane osobowe będą przetwarzane, np. imię, nazwisko, adres, nr tel.)... (wskazać cel, dla którego będą przetwarzane dane osobowe) w celu Jednocześnie oświadczam, że zostałam/-em* poinformowana/-y* o tym, że administratorem moich danych osobowych jest szkoła, o przysługujących mi na podstawie ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. (tekst jedn.: Dz.U. z 2014 r. poz ze zm.) uprawnieniach, w tym o prawie dostępu do treści moich danych osobowych oraz o prawie do ich poprawiania.... * Niepotrzebne skreślić. (czytelny podpis) 31

32 4. Przetwarzanie danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (art. 37 ustawy o ochronie danych osobowych). Administratorem danych w szkole i placówce oświatowej jest jej dyrektor, zatem to on nadaje nauczycielom i innym pracownikom upoważnienia do danych osobowych. Oznacza to, że każdy nauczyciel, a także inni pracownicy szkoły, którzy mają dostęp do danych osobowych, powinni posiadać stosowne upoważnienia. Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z tą definicją przetwarzaniem danych osobowych będzie np. ich uzyskiwanie (pozyskiwanie) od osoby, wprowadzanie do komputera, drukowanie, kserowanie, skanowanie, przechowywanie dokumentów papierowych z danymi osobowymi. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (np. obowiązek prowadzenia dziennika należy zauważyć, że większość danych przetwarzanych w szkole będzie na podstawie tej przesłanki), 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (np. umowa o dzieło, zlecenie), 4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jestto niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą Dane osobowe uczniów w dokumentacji przebiegu nauczania Rodzice i opiekunowie prawni ucznia mogą nie wyrazić zgody na przetwarzanie danych osobowych dziecka/podopiecznego. Zaznaczyć jednak należy, że zastrzeżenie to nie rozciąga się na dane, które przetwarzamy, z uwagi na to, że wymagają tego przepisy prawa, np. takie, które należy umieścić w dokumentacji przebiegu nauczania prowadzonej przez szkołę patrz dalej. 32

33 Podobna zasada dotyczy np. umieszczania danych w programie używanym przez okręgowe komisje egzaminacyjne, który służy, między innymi, do zgłoszenia ucznia do sprawdzianu lub egzaminów zewnętrznych ustalonych przez ustawę o systemie oświaty Dane osobowe uczniów w dzienniku lekcyjnym Do dziennika lekcyjnego wpisuje się w porządku alfabetycznym lub innym ustalonym przez dyrektora szkoły: nazwiska i imiona uczniów albo słuchaczy, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania ucznia albo słuchacza, adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają, imiona i nazwiska nauczycieli prowadzących zajęcia edukacyjne oraz tygodniowy plan zajęć edukacyjnych, a w szkołach dla dorosłych prowadzących kształcenie w formie zaocznej semestralny plan zajęć edukacyjnych ( 10 ust. 2 rozporządzenia Ministra Edukacji Narodowej z 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji, Dz.U. z 2014 r. poz. 1170). W dzienniku lekcyjnym prowadzonym przez szkołę dla dzieci i młodzieży odnotowuje się obecność uczniów na zajęciach edukacyjnych, a także liczbę godzin usprawiedliwionych i nieusprawiedliwionych nieobecności na tych zajęciach oraz wpisuje się tematy przeprowadzonych zajęć edukacyjnych, oceny bieżące, śródroczne i roczne (semestralne) oceny klasyfikacyjne z zajęć edukacyjnych uzyskane przez uczniów oraz śródroczne i roczne oceny klasyfikacyjne zachowania. Przeprowadzenie zajęć edukacyjnych nauczyciel potwierdza podpisem ( 10 ust. 3 ww. rozporządzenia) Dane osobowe rodziców i opiekunów w księdze ewidencji dzieci i uczniów Wpisów w księdze ewidencji, księdze uczniów, księdze słuchaczy i księdze wychowanków dokonuje się na podstawie: dowodów osobistych lub innych dokumentów tożsamości rodziców albo pełnoletniego ucznia, słuchacza albo wychowanka, 33

34 innych dokumentów zawierających dane podlegające wpisowi do odpowiedniej księgi oraz informacji przekazanych przez organ gminy lub dyrektora innej szkoły lub placówki ( 9 rozporządzenia Ministra Edukacji Narodowej z 29 sierpnia 2014 r.). Zatem wgląd do dowodów osobistych rodziców i opiekunów prawnych uczniów jest niezbędny do uzupełnienia księgi ewidencji dzieci oraz księgi uczniów. Wpisów w arkuszu ocen ucznia albo słuchacza dokonuje się na podstawie danych zawartych odpowiednio w: księdze uczniów, księdze słuchaczy, dzienniku lekcyjnym, protokołach egzaminów klasyfikacyjnych i poprawkowych, protokołach sprawdzianów wiadomości i umiejętności, protokołach z prac komisji powołanej w celu ustalenia rocznej oceny klasyfikacyjnej zachowania, protokołach zebrań rady pedagogicznej, informacji o wyniku sprawdzianu szóstoklasisty, informacji o wyniku egzaminu gimnazjalnego albo o zwolnieniu odpowiednio ze sprawdzianu lub egzaminu przez dyrektora okręgowej komisji egzaminacyjnej, informacji o wyniku egzaminu potwierdzającego kwalifikacje w zawodzie, a także innych dokumentach potwierdzających dane podlegające wpisowi ( 15 ust. 2 ww. rozporządzenia). Podobnie jak w przypadku przetwarzania danych z dzienników lekcyjnych, tak i w doniesieniu do tych zgromadzonych w arkuszach ocen nie jest wymagana zgoda rodziców/opiekunów prawnych uczniów lub pełnoletnich uczniów Zwolnienie z obowiązku rejestracji zbioru danych uczniów i pracowników szkoły Zbiory danych, takie jak księga ewidencji dzieci oraz szeroko rozumiany zbiór zatrudnionych (umowy o pracę oraz cywilnoprawne), nie podlegają obowiązkowi rejestracji w GIODO (art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych). Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (art. 43 ust. 1 pkt 4 ww. ustawy). 34

35 4.5. Umieszczanie danych osobowych uczniów i pracowników na stronie internetowej szkoły Przetwarzaniem danych będzie także umieszczanie na stronie internetowej szkoły informacji o pracownikach szkoły, radzie rodziców, a także o samorządzie uczniowskim lub laureatach szkolnych konkursów i olimpiad. To samo dotyczy folderów czy też ulotek reklamowych szkoły. Bez zgody pracowników można publikować na stronie internetowej szkoły ich dane obejmujące: imię, nazwisko, stanowisko służbowe, służbowy numer telefonu czy też służbowy adres owy (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych). Prawo pracodawcy do ujawniania danych dotyczących pracowników i zajmowanych przez nich stanowisk potwierdził Sąd Najwyższy w wyroku z 19 listopada 2003 r., w którym stwierdził, że (...) najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi z kontrahentami, klientami, administracją publiczną itd. Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika. (...) Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne. Stanowisko Sądu Najwyższego popiera także Generalny Inspektor Ochrony Danych Osobowych. Zdaniem GIODO takie informacje o podwładnym, jak jego imię i nazwisko, służbowy adres czy też służbowy numer telefonu są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Z uwagi na to dane te mogą być wykorzystywane przez pracodawcę także bez zgody osoby, której dotyczą. Nie ma więc przeszkód do umieszczenia na stronach internetowych pracodawcy informacji o pracownikach, jeśli dane te nie dotyczą prywatnej sfery jego życia. ZAPAMIĘTAJ: Do zamieszczenia na stronie internetowej danych obejmujących imię, nazwisko i pełnioną funkcję osób wchodzących w skład rady rodziców oraz przedstawicieli samorządu szkolnego nie jest wymagana zgoda członków tych organów (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych). 35

36 4.6. Na upublicznienie zdjęć uczniów i pracowników co do zasady trzeba mieć pisemną zgodę Jeżeli dyrektor placówki chce umieszczać na stronie internetowej zdjęcia uczniów czy też pracowników szkoły, musi uzyskać na to ich pisemną zgodę. Uczniowie pełnoletni mogą sami wyrazić taką zgodę, natomiast w imieniu uczniów niepełnoletnich zgodę wyrażają rodzice (opiekunowie). Wizerunek to bowiem dobro osobiste człowieka, chronione przepisami Kodeksu cywilnego i na jego rozpowszechnianie konieczne jest uzyskanie zgody... (miejscowość i data) ZGODA NA WYKORZYSTANIE WIZERUNKU DZIECKA Oświadczam, że wyrażam zgodę na rejestrowanie wizerunku mojego dziecka podczas zajęć i uroczystości szkolnych organizowanych przez szkołę oraz wykorzystanie tego wizerunku poprzez prezentację jego/jej wizerunku.... (należy podać, gdzie będzie publikowane zdjęcie/film) w zakresie (należy podać, w jakim celu będzie publikowane zdjęcie/film) szkoły.. w Imię i nazwisko ucznia:... (czytelny podpis rodzica/opiekuna) Podstawa prawna: Ustawa o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.). Ustawa o prawie autorskim i prawach pokrewnych (tekst jedn.: Dz.U. z 2006 r.nr 90, poz. 631 ze zm.). 36 ZAPAMIĘTAJ: Zgoda nie jest wymagana, gdy wizerunek osoby (ucznia, pracownika) stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza (art. 81 ust. 2 pkt 2 ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych). Oznacza to, że np. do publikacji zdjęć z imprezy szkolnej czy też wycieczki, w których uczestniczy większa grupa uczniów/ pracowników, nie jest wymagana zgoda osób widniejących na fotografiach.

37 4.7. Upublicznienie informacji o laureatach szkolnych konkursów Bez zgody można publikować imiona i nazwiska laureatów konkursów szkolnych i olimpiad, ale wyłącznie wówczas, gdyby publikację takich danych przewidywał regulamin danego konkursu, olimpiady. Podobnie jest z publikacją wyróżnionej pracy. Jeżeli w regulaminie konkursu czy też olimpiady nie przewidziano takiego zapisu, wówczas na publikację tych danych potrzebna będzie pisemna zgoda uczniów (jeżeli są pełnoletni) lub ich rodziców (opiekunów) jeśli uczniowie są niepełnoletni Wizytator ma prawo dostępu do dokumentacji szkolnej zawierającej dane osobowe Podczas wizytacji w szkole wizytatorzy przeglądają dokumentację szkoły, w której znajdują się dane osobowe uczniów, a także rodziców. Zdarza się również, że wizytatorzy robią kopie i notatki z oglądanych dokumentów. Powstaje wówczas wątpliwość co do dopuszczalności takiego działania. Tymczasem, w myśl wyroku NSA z 19 grudnia 2001 r.: gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną; posługiwanie się taką czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania). Jest możliwe zastąpienie notatek, odpisów kopiami dokumentów lub ich fragmentów. A zatem wizytator jest upoważniony do wglądu do prowadzonej przez szkołę dokumentacji dotyczącej przebiegu nauczania, wychowania i opieki (art. 33 ust. 3 pkt 2 ustawy o systemie oświaty) oraz do zbierania niezbędnych dowodów stanowiących podstawę ustaleń kontroli oraz włączania zebranych dowodów do akt kontroli ( 13 ust. 1 pkt 2 i ust. 2 rozporządzenia MEN z 7 października 2009 r. w sprawie nadzoru pedagogicznego). Wątpliwości w tym zakresie rozwiała ustawa z 20 lutego 2015 r. o zmianie ustawy o systemie oświaty oraz niektórych innych ustaw (Dz.U. poz. 357), która umożliwia przekazywania wizytatorom danych osobowych zawartych w dziennikach, protokołach rady pedagogicznej, sprawozdaniach z nadzoru i innej dokumentacji wykorzystywanej podczas kontroli i ewaluacji. Zapisy ustawy nadają wizytatorom prawo do ich przetwarzania. 37

38 Jeśli jednak zakres danych zawartych w dokumencie wykracza poza zakres wynikający z tematu kontroli, dokonuje się anonimizacji (przekształcenie danych osobowych w sposób uniemożliwiający zidentyfikowanie osoby fizycznej). Anonimizacji można dokonać poprzez udostępnienie kserokopii dokumentu z zakreślonymi (zamazanymi) danymi osobowymi Imienne zestawienie godzin nauczycieli nie powinno być upubliczniane Częstą praktyką stosowaną w szkołach jest wywieszanie w pokoju nauczycielskim grafiku doraźnych zastępstw i godzin ponadwymiarowych. Tymczasem praktyka taka nie powinna zaistnieć. Publiczne wywieszenie takiej listy jest bowiem udostępnieniem osobom nieupoważnionym (innym pracownikom szkoły, uczniom, rodzicom) danych, na podstawie których oblicza się wynagrodzenie nauczycieli, a działalnie takie jest niezgodne z przepisami Kodeksu pracy i ustawy o ochronie danych osobowych (art Kodeksu pracy oraz art. 37 ustawy o ochronie danych osobowych). Udostępnianie dokumentów, na podstawie których zostało obliczone wynagrodzenie nauczyciela, możliwe jest jedynie na żądanie pracownika (art Kodeksu pracy). Wynagrodzenie za pracę podlega ochronie. Zbiory kadrowo-płacowe powinna cechować poufność danych, tzn. nie mogą być udostępniane nieupoważnionym podmiotom Za naruszenie przepisów o ochronie danych osobowych grożą sankcje karne. Osoba zobowiązana do ochrony danych osobowych w przypadku udostępnienia lub umożliwienia dostępu do danych osobom nieupoważnionym podlega (art. 51 ustawy o ochronie danych osobowych): grzywnie, karze ograniczenia wolności lub karze pozbawiania wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 38

39 Przepisy prawa i orzecznictwo: ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.), ustawa z 7 września 1991 r. o systemie oświaty (tekst jedn.: Dz.U. z 2004 r. nr 256, poz ze zm.), ustawa z 26 czerwca 1974 r. Kodeks pracy (tekst jedn.: Dz.U. z 2014 r. poz ze zm.), ustawa z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jedn.: Dz.U. z 2006 r. nr 90, poz. 631 ze zm.), rozporządzenie Ministra Edukacji Narodowej z 29 sierpnia 2014 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. z 2014 r. poz. 1170), rozporządzenie Ministra Edukacji Narodowej z 28 maja 2010 r. w sprawie świadectw, dyplomów państwowych i innych druków szkolnych (tekst jedn.: Dz.U. z 2014 r. poz. 893 ze zm.), rozporządzenie Ministra Edukacji Narodowej z 7 października 2009 r. w sprawie nadzoru pedagogicznego (Dz.U. z 2009 r. nr 168, poz ze zm.), rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Orzecznictwo: Wyrok SN z 19 listopada 2003 r. (I PK 590/02, OSNP 2004/20/351). Wyrok NSA z 19 grudnia 2001 r. (II SA 2869/00, ONSA 2003/1/29). 39

40 ISBN BA47