Ochrona danych osobowych w szkole

Transkrypt

1 Ochrona danych osobowych w szkole

2 GENEZA POWSTANIA USTAWY O OCHRONIE DANYCH OSOBOWYCH Powszechna Deklaracja Praw Człowieka Międzynarodowy Pakt Praw Obywatelskich i Politycznych Europejska Konwencja o Ochronie Praw Człowieka i Podstawowych Wolności Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych najstarszy akt prawny o zasięgu międzynarodowym, kompleksowo regulujący zagadnienia związane z ochroną danych osobowych nałożyła na kraje członkowskie zobowiązanie stworzenia ustawodawstwa w zakresie ochrony danych osobowych, wskazując jednocześnie, w jakim kierunku ustawodawstwo to ma zmierzać Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych 2

3 ŹRÓDŁA PRAWA OCHRONY DANYCH OSOBOWYCH Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.) art. 47 (prawo do prywatności) Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. art. 51 (prawo do ochrony informacji dotyczących jego osoby) Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. 3

4 ŹRÓDŁA PRAWA OCHRONY DANYCH OSOBOWYCH Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536) Rozporządzenie Prezydenta Rzeczpospolitej z dnia 10 października 2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011 r. Nr 225, poz. 1350) 4

5 ZAKRES PRZEDMIOTOWY USTAWY Ustawę o ochronie danych osobowych stosuje się do przetwarzania danych osobowych: w zbiorach prowadzonych w systemie papierowym (w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych Do zbiorów danych osobowych sporządzanych: doraźnie wyłącznie ze względów technicznych szkoleniowych lub w związku z dydaktyką w szkołach wyższych a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy ustawy, dotyczące zabezpieczenia zbiorów danych osobowych 5

6 ZAKRES PODMIOTOWY USTAWY Podmioty przetwarzające dane publiczne organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne niepubliczne realizujące zadania publiczne (np. szkoły niepubliczne z uprawnieniami szkół publicznych) prywatne osoby fizyczne, osoby prawne, jednostki organizacyjne nie będące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych Podmioty, których dane osobowe dotyczą osoby fizyczne 6

7 ZAKRES PODMIOTOWY USTAWY Ustawa o ochronie danych osobowych nie ma zastosowania do: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych osób zmarłych podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. 7

8 DEFINICJE DANE OSOBOWE - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej dane osobowe zwykłe (np. imię i nazwisko, PESEL, adres zamieszkania) dane osobowe wrażliwe (sensytywne) katalog zamknięty pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, dane o kodzie genetycznym, dane o nałogach dane o życiu seksualnym dane o skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także o innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym 8

9 DEFINICJE ZBIÓR DANYCH - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie PRZETWARZANIE DANYCH - jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych SYSTEM INFORMATYCZNY zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych USUWANIE DANYCH - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą 9

10 DEFINICJE ADMINISTRATOR DANYCH - organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych ZGODA OSOBY - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie; zgoda może obejmować przetwarzanie danych w przyszłości ODBIORCA DANYCH - każdy, komu udostępnia się dane osobowe (z wyjątkiem m.in. osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych) 10

11 ORGAN OCHRONY DANYCH OSOBOWYCH Generalny Inspektor Ochrony Danych Osobowych (GIODO) powoływany i odwoływany przez Sejm RP za zgodą Senatu na 4-letnią kadencję wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych (może wykonywać swoje zadania także przy pomocy jednostek zamiejscowych Biura) Prezydent RP w drodze rozporządzenia nadaje statut Biura oraz wskazuje siedziby jednostek zamiejscowych i ich zasięg terytorialny Generalnym Inspektorem Ochrony Danych Osobowych IV kadencji jest Wojciech Rafał Wiewiórowski - doktor nauk prawnych, który zajmuje to stanowisko od dnia 4 sierpnia 2010 r. telefoniczne porady z zakresu ustawy o ochronie danych osobowych udzielane są pod numerem (0-22) Zainteresowani mogą dzwonić w dni robocze między godziną 8.00 a Biuro Generalnego Inspektora Ochrony Danych Osobowych mieści się przy ul. Stawki 2, Warszawa strona internetowa GIODO: 11

12 Strona internetowa GIODO 12

13 ZADANIA GIODO kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z wydawanych decyzji administracyjnych przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz. U. z 2012 r., poz. 1015) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych 13

14 ZADANIA GIODO GIODO lub upoważnieni przez niego pracownicy Biura, zwani inspektorami, mają prawo: wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych 14

15 ZADANIA GIODO W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień uzupełnienie, uaktualnienie, sprostowanie, lub nieudostępnienie danych osobowych udostępnienie zastosowanie dodatkowych zgromadzone dane osobowe środków zabezpieczających wstrzymanie przekazywania danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazanie ich innym podmiotom usunięcie danych osobowych Strona może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy. Na decyzję GIODO w przedmiocie rozpatrzenia wniosku przysługuje skarga do sądu administracyjnego. 15

16 GIODO - statystyka GIODO pytania z prośbą o interpretację skargi kontrole zawiadomienia o popełnieniu przestępstwa liczba zarejestrowanych zbiorów

17 ZASADY PRZETWARZANIA DANYCH OSOBOWYCH zasada legalności przetwarzać dane osobowe zgodnie z prawem zasada celowości zbierać dane dla oznaczonych, zgodnych z prawem celów zasada merytorycznej poprawności dbać o merytoryczną poprawność danych zasada adekwatności danych dbać o adekwatność danych w stosunku do celów, w jakich są zbierane zasada ograniczenia czasowego przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania 17

18 PRZESŁANKI DOPUSZCZALNOŚCI PRZETWARZANIA DANYCH ZWYKŁYCH Przetwarzanie danych zwykłych jest dopuszczalne, jeżeli: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą 18

19 Dane wrażliwe Zakaz przetwarzania danych wrażliwych (sensytywnych) ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, dane o kodzie genetycznym, dane o nałogach dane o życiu seksualnym dane o skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także o innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym Katalog danych wrażliwych nie podlega rozszerzeniu! 19

20 PRZESŁANKI PRZETWARZANIA DANYCH WRAŻLIWYCH Ustawa o ochronie danych osobowych przewiduje 10 wyjątków, w których przetwarzanie danych wrażliwych jest dopuszczalne, m.in.: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony jest to niezbędne do wykonania statutowych zadań kościołów przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, 20

21 PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE W ZBIORACH DANYCH Każdej osobie, której dane są przetwarzane w zbiorach danych przez administratora danych przysługuje: nie częściej niż raz na 6 miesięcy prawo do kontroli przetwarzania danych, które jej dotyczą, a zwłaszcza prawo do udzielenia jej informacji m.in.: o istnieniu zbioru, swojej nazwie i adresie siedziby, celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze, od kiedy przetwarza dane jej dotyczące, o źródle, z którego pochodzą dane, o sposobie udostępniania danych oraz o ich odbiorcach administrator danych ma ustawowy obowiązek poinformowania tej osoby w terminie 30 dni od dnia złożenia wniosku prawo żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane administrator danych ma obowiązek uwzględnienia żądania bez zbędnej zwłoki 21

22 PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE W ZBIORACH DANYCH prawo wniesienia, w przypadku, gdy przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie GIODO, który wydaje stosowną decyzję prawo wniesienia sprzeciwu wobec przetwarzania jej danych w razie wniesienia sprzeciwu, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne 22

23 Odpowiedzialność za naruszenie przepisów ustawy o ochronie danych Odpowiedzialność karna (za popełnienie przestępstwa) - grzywna kara pozbawienia wolności do lat 2 bezprawne przetwarzanie danych osobowych w zbiorze (art. 49 ustawy) udostępnianie danych osobowych osobom nieupoważnionym (art. 51 ustawy) niedopełnienie obowiązku zabezpieczania danych (art. 52 ustawy) nie zgłoszenie do rejestracji zbioru (art. 53 ustawy) niedopełnienie obowiązku informacyjnego (art. 54 ustawy) udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej (art. 54a ustawy) Odpowiedzialność cywilna (za szkodę) naruszenie dóbr osobistych (roszczenia cywilnoprawne - art. 23, 24 kodeksu cywilnego), odpowiedzialność odszkodowawcza (art. 415 kodeksu cywilnego) Odpowiedzialność dyscyplinarna (za naruszenie obowiązków pracowniczych, tajemnicy danych osobowych) Odpowiedzialność administracyjna (może ją ponosić administrator danych np. decyzja GIODO nakazująca zaprzestania przetwarzania danych) 23

24 OCHRONA DANYCH OSOBOWYCH W SZKOLE Działalność każdej szkoły i placówki podlega przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych GIODO w 1999 r. uznał, że jednostki komunalne wykonujące w imieniu gminy zadania, które służą zaspokojeniu potrzeb społeczności lokalnej są administratorami danych w rozumieniu ustawy o ochronie danych osobowych. Dotyczy to również szkół oraz innych jednostek organizacyjnych systemu oświaty. 24

25 OCHRONA DANYCH OSOBOWYCH W SZKOLE Statusu administratora danych nie posiadają jednostki obsługi ekonomiczno-administracyjnej szkół Generalny Inspektor Ochrony Danych Osobowych w 2005 r. rozstrzygnął, że jednostki obsługi ekonomiczno-administracyjnej szkół są podmiotami, którymi administrator danych powierzył w drodze umowy przetwarzanie danych osobowych na podstawie w art. 31 ustawy o ochronie danych osobowych 25

26 OCHRONA DANYCH OSOBOWYCH W SZKOLE Zakres danych przetwarzanych przez szkoły i placówki regulują w szczególności: ustawa z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2004 r., Nr 256, poz z późn. zm.) ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela (Dz. U. z 2006 r. Nr 97 poz. 674 z późn. zm.) ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej (Dz. U. z 2011 r., Nr 139, poz. 814 z późn. zm.) rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. z 2002 r. Nr 23, poz. 225 z późn. zm.) rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 20 lutego 2004 r. w sprawie warunków i trybu przyjmowania uczniów do szkół publicznych oraz przechodzenia z jednych typów szkół do innych (Dz. U. z 2004 Nr 26, poz. 232 z późn. zm.) ogół aktów prawnych dotyczących pomocy psychologiczno-pedagogicznej 26

27 OCHRONA DANYCH OSOBOWYCH W SZKOLE W zakresie wynikającym z powołanych wyżej aktów prawnych szkoły i placówki przetwarzają przede wszystkim: dane osobowe uczniów i rodziców, dane osobowe nauczycieli i pozostałych pracowników szkoły. Ustawie o ochronie danych osobowych podlegają dane osobowe przetwarzane w szkole lub placówce: w systemach informatycznych (SIO, e-dziennik, Hermes) znajdujące się we wszelkich kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych (dzienniki lekcyjne, księga ewidencji, księga uczniów, arkusze ocen, arkusz organizacji szkoły itd.) 27

28 OCHRONA DANYCH OSOBOWYCH W SZKOLE Przetwarzanie danych osobowych w szkole jest możliwe jedynie wówczas, gdy zaistnieje jedna z przesłanek wskazanych w ustawie o ochronie danych osobowych. Przesłanki te są następujące: zgoda osoby, której dane dotyczą jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa jest to konieczne do realizacji umowy jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów 28

29 OCHRONA DANYCH OSOBOWYCH W SZKOLE Najczęściej występujące przesłanki dopuszczalności przetwarzania w szkole danych osobowych to: konieczność zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa: szkoły i placówki zobowiązane są do prowadzenia dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej; dokumentacja z przebiegu nauki powinna być prowadzona w zakresie określonym rozporządzeniem Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. z 2002 r. Nr 23 poz. 225 ze zm.) zgoda osoby, której dane dotyczą w przypadku pozyskiwania danych w zakresie szerszym niż ten wskazany w przepisach prawa konieczne jest pozyskanie dodatkowej zgody konieczność wykonania określonych przez prawo zadań realizowanych dla dobra publicznego 29

30 OCHRONA DANYCH OSOBOWYCH W SZKOLE Rozporządzenie w sprawie prowadzenia dokumentacji dopuszcza przetwarzanie m.in. takich danych osobowych jak: imię (imiona) i nazwisko dziecka data i miejsce urodzenia adres zamieszkania numer PESEL imiona i nazwiska rodziców oraz adresy ich zamieszkania Przetwarzanie tych danych jest niezbędne do spełnienia przez szkołę lub placówkę obowiązku wynikającego z przepisów prawa W przypadku pozyskiwania przez szkołę lub placówkę danych osobowych w zakresie szerszym niż ten wskazany w przepisach prawa, aby przetwarzanie danych było legalne, konieczne jest pozyskanie zgody osoby, której dane dotyczą. 30

31 OCHRONA DANYCH OSOBOWYCH W SZKOLE dokumentacja przebiegu nauczania powinna być prowadzona wyłącznie w zakresie określonym w rozporządzeniu w sprawie prowadzenia dokumentacji do pozyskiwania, określonych w rozporządzeniu w sprawie sposobu prowadzenia dokumentacji, danych osobowych nie jest wymagana zgoda osoby, której dane dotyczą przetwarzanie danych osobowych wskazanych w rozporządzeniu w sprawie sposobu prowadzenia dokumentacji jest niezbędne dla spełnienia przez szkołę lub placówkę obowiązku wynikającego z przepisu prawa w przypadku pozyskiwania danych osobowych zwykłych przez szkołę w zakresie szerszym niż ten wskazany w przepisach prawa, aby przetwarzanie danych osobowych było legalne, konieczne jest pozyskanie zgody osoby, której dane dotyczą dla celów dowodowych wskazane jest, aby zgoda została udzielona na piśmie w przypadku uczniów niepełnoletnich zgoda na przetwarzanie ich danych musi być udzielona przez rodziców (prawnych opiekunów) 31

32 OCHRONA DANYCH OSOBOWYCH W SZKOLE Działalnością szkoły lub placówki kieruje dyrektor, który wykonuje obowiązki administratora danych, co oznacza, że: podejmuje samodzielne decyzje co do celów i środków użytych do przetwarzania danych osobowych jest odpowiedzialny za bezpieczeństwo tych danych oraz odpowiada za naruszenie przepisów ustawy o ochronie danych osobowych 32

33 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH ustalenie, jakiego rodzaju dane osobowe są przetwarzane w szkole oraz jakie zbiory danych są prowadzone (zarówno w postaci papierowej, jak i elektronicznej) zweryfikowanie, czy zostały spełnione przesłanki uprawniające do przetwarzania danych osobowych (np. czy została udzielona zgoda rodziców na przetwarzanie danych osobowych małoletniego dziecka, czy obowiązek lub prawo do przetwarzania określonych danych osobowych wynika z przepisu prawa lub z określonych przez prawo zadań realizowanych dla dobra publicznego) 33

34 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane: zgodnie z prawem zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane, dalszemu przetwarzaniu niezgodnemu z tymi celami merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane 34

35 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (w tym m.in. zabezpieczanie przed dostępem osób nieupoważnionych pomieszczeń, w których wykonywane są jakiekolwiek operacje na danych osobowych) 35

36 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych określa: sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych 36

37 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych, na którą składają się: polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Do sporządzenia instrukcji zarządzania systemem informatycznym zobowiązani są jedynie ci dyrektorzy szkół, którzy przetwarzają dane osobowe w systemie informatycznym. Jeśli dane przetwarzane są w formie papierowej, takiej konieczności nie ma. 37

38 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 38

39 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego sposób realizacji wymogów, dotyczących odnotowywania informacji o odbiorcach procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 39

40 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji dostępne są na stronie 40

41 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH wyznaczenie administratora bezpieczeństwa informacji (ABI) nie ma potrzeby wyznaczania ABI, jeżeli dyrektor szkoły sam wykonuje zadania ABI wyznaczenie ABI powinno nastąpić w formie pisemnej Administrator Bezpieczeństwa Informacji w szczególności: nadzoruje przestrzeganie zasad ochrony, określonych przez administratora danych, wynikających z polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym ma obowiązek stosować odpowiednie do zagrożeń i kategorii danych środki techniczne i organizacyjne 41

42 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH nadanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 42

43 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Upoważnienie do przetwarzania danych osobowych powinno: mieć formę pisemną mieć charakter imienny, wskazywać konkretną osobę oraz dozwolony zakres przetwarzania być nadawane niezależnie od tego czy dane przetwarzane są ręcznie czy automatycznie nadane osobom stale lub czasowo zajmującym się przetwarzaniem danych stanowić odrębny dokument, nie powinno być zawarte w ramach umowy o pracę lub zakresu czynności Upoważniana osoba podpisuje oświadczenie o znajomości przepisów o ochronie danych osobowych oraz o zachowaniu w tajemnicy informacji, do których ma dostęp 43

44 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Upoważnienie imienne do przetwarzania danych osobowych (wzór) Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) upoważniam Panią/Pana... (imię i nazwisko osoby upoważnionej) zatrudnioną (ego) w... (nazwa jednostki i komórki organizacyjnej) na stanowisku... do przetwarzania od dnia... r. danych osobowych w zakresie... i nadaję identyfikator... (podpis administratora danych) 44

45 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH prowadzenie ewidencji osób upoważnionych do przetwarzania danych Ewidencja powinna zawierać: imię i nazwisko osoby upoważnionej datę nadania upoważnienia i jego ustania zakres upoważnienia do przetwarzania danych osobowych identyfikator, jeżeli dane są przetwarzane w systemie informatycznym Ewidencję należy prowadzić w formie pisemnej zarówno, gdy dane osobowe przetwarzane są ręcznie, jak też automatycznie Ewidencja powinna odnosić się do wszystkich osób upoważnionych, a nie tylko pozostających w stosunku pracy oraz zawierać wszystkie wymagane informacje 45

46 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Ewidencja osób upoważnionych do przetwarzania danych osobowych L. Identyfikator Imię i nazwisko Zakres Data nadania Data i Data odebrania uprawnień p. użytkownika* upoważnienia uprawnień w podpis w systemie do systemie ABI oraz data i podpis ABI przetwarzania danych osobowych 1. Zmiany danych** * Wypełnia się tylko dla osób upoważnionych do przetwarzania danych osobowych, które zostały dopuszczone do przetwarzania danych osobowych w systemie informatycznym... **Jeżeli zmiany danych dotyczą tylko niektórych rubryk, np. miejsca pracy; pozostałe rubryki w wierszu powinny zostać przekreślone, tak aby było jasne jakich danych dotyczyła zmiana. 46

47 OBOWIĄZKI DYREKTORA SZKOŁY W ZAKRESIE OCHRONY DANYCH OSOBOWYCH zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane respektowanie praw osób, których dane dotyczą zgłoszenie zbioru danych do rejestracji GIODO, chyba że ustawa zwalnia go z tego obowiązku 47

48 ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GIODO zgłoszenia zbioru danych dokonuje się na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536) zgłoszenie powinno być podpisane przez dyrektora szkoły lub inną osobę upoważnioną 48

49 ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GIODO zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych ul. Stawki 2, Warszawa od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną z użyciem bezpiecznego podpisu elektronicznego zgłoszenie można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie platforma e-giodo 49

50 Obowiązki administratora danych związane z powierzeniem danych innemu podmiotowi Najczęściej zgłaszane do rejestracji GIODO zbiory danych osobowych prowadzone przez szkoły: rejestr korespondencji rejestr dokumentacji przetargowej rejestr uczniów zamieszkałych w obwodzie szkoły realizujących obowiązek szkolny w innej szkole rejestr biblioteczny rejestr upoważnień do odbioru dzieci ze świetlicy rejestr absolwentów szkoły rejestr rodziców uczniów rejestr osób odbywających praktyki 50

51 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Administrator danych (w przypadku szkoły jej dyrektor) może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych w całości lub w części art. 31 ustawy o ochronie danych osobowych Uwaga! Administrator danych nie może powierzyć innemu podmiotowi więcej praw niż sam posiada 51

52 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH w praktyce szkolnej, instytucja powierzania przetwarzania danych dotyczy w szczególności powierzenia prowadzenia dziennika elektronicznego szkoły najczęściej powierzają obsługę e-dziennika firmom zewnętrznym dostęp do danych osobowych zawartych w e-dziennikach jest możliwy przez Internet za pomocą połączeń szyfrowanych 52

53 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Dziennik elektroniczny szkoła może powierzyć prowadzenie dziennika elektronicznego firmie zewnętrznej wyłącznie w drodze umowy zawartej na piśmie określającej zakres i cel przetwarzania danych zasady odpowiedzialności podmiotu, któremu przekazano dane ramy czasowe przekazania 53

54 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Dziennik elektroniczny dane zgromadzone w systemie dziennika elektronicznego (np. dane uczniów, ich oceny, obecności) mogą być administrowane wyłącznie przez szkołę (szkoła jest bowiem administratorem danych osobowych) nie spełnia wymogów z art. 31 ustawy o ochronie danych osobowych umowa udzielenia licencji na korzystanie z systemu informatycznego zawarta z chwilą otrzymania przez szkołę kodu dostępu do systemu informatycznego nie wystarczy pisemna umowa hostingowa (hosting udostępnienie przez dostawcę usług internetowych zasobów serwerowni), jeśli nie zawiera ona postanowień, z których wynikałoby, iż na ich podstawie powierzono przetwarzanie danych osobowych w celu wykonania tej umowy 54

55 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Dziennik elektroniczny powierzenie przez szkołę firmie zewnętrznej przetwarzania danych osobowych bez zawarcia w formie pisemnej umowy w sprawie powierzenia przetwarzania danych osobowych, stanowi naruszenie art. 31 ust. 1 ustawy o ochronie danych osobowych 55

56 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Dziennik elektroniczny Podmiot, któremu powierzono przetwarzanie danych zawartych w e-dzienniku: może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (zakres i cel musi być związany ze świadczeniem usługi dziennika elektronicznego i nie może być rozszerzany samodzielnie przez dostawcę) jest obowiązany podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych nie staje się administratorem danych 56

57 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Dziennik elektroniczny dyrektor szkoły ponosi odpowiedzialność za właściwe prowadzenie i przechowywanie dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz za wydawanie przez szkołę dokumentów zgodnych z posiadaną dokumentacją dyrektor szkoły decyduje, czy rodzice uczniów będą mogli logować się do systemu dziennika elektronicznego i jaki zakres będzie im udostępniony decyzja ta powinna w równym stopniu obejmować wszystkich rodziców i określać jednakowe warunki korzystania z e-dziennika oraz uniemożliwiać użytkownikom przenoszenia danych osobowych znajdujących się w dzienniku elektronicznym na komputery osobiste pobieranie opłat od rodziców za dostęp do dziennika elektronicznego jest nieuprawnione 57

58 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Dziennik elektroniczny Pobieranie opłat od rodziców za dostęp do dziennika elektronicznego jest nieuprawnione! 58

59 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH Dziennik lekcyjny prowadzony w tradycyjnej papierowej formie dziennik lekcyjny prowadzony w tradycyjnej formie papierowej jest zbiorem danych osobowych każdy nauczyciel powinien posiadać stosowne upoważnienie do przetwarzania zawartych w dzienniku lekcyjnym danych osobowych pokój nauczycielski jako pomieszczenie, w którym dziennik lekcyjny jest przechowywany powinien być odpowiednio zabezpieczony w pokoju nauczycielskim nie powinna przebywać, bez nadzoru przynajmniej jednej osoby upoważnionej, żadna osoba nieupoważniona 59

60 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Cztery grupy zagadnień: udostępnianie danych osobowych nauczycieli udostępnianie danych osobowych rodziców udostępnianie danych osobowych uczniów zakres danych przetwarzanych przez szkoły 60

61 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych nauczycieli czy wójt/burmistrz ma prawo żądać udostępnienia mu akt osobowych pracowników szkoły? - w ocenie GIODO działanie to nie znajduje uzasadnienia w powszechnie obowiązujących przepisach prawa 61

62 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych rodziców udostępnienie przez dyrektora adresów zamieszkania członków rady rodziców według GIODO, udostępnienie tych danych wnika w sferę życia prywatnego członków rady; rada rodziców powinna określić zasady kontaktowania się z nią w regulaminie rady rodziców 62

63 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych rodziców samowolne udostępnienie przez nauczyciela i byłego wychowawcę klasy, danych rodziców i dwóch uczniów przychodniom zdrowia w związku z prywatnym sporem, jaki prowadził z rodzicami - GIODO w decyzji z dnia 31 sierpnia 2005 r. (sygn. GI-DEC-DS-275/05) wskazał na uchybienie administratora danych polegające na niezastosowaniu wystarczających środków bezpieczeństwa przetwarzanych danych. W procedurach wewnętrznych szkoły brak było postanowień, które zabraniałyby wykorzystania danych pozyskanych w celach służbowych do celów prywatnych realizowanych przez osoby korzystające z tych danych. zakaz wykorzystywania danych osobowych gromadzonych przez szkołę, pozyskanych w celach służbowych, do celów osobistych realizowanych przez osoby korzystające z tych danych (np. w kampaniach wyborczych) 63

64 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych rodziców zakaz wykorzystywania danych osobowych gromadzonych przez szkołę, pozyskanych w celach służbowych, do celów osobistych realizowanych przez osoby korzystające z tych danych (np. w kampaniach wyborczych) 64

65 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych Decyzja GIODO z 1 grudnia 2008 r., znak: DOLiS/DEC-769/08 Rada Rodziców może podać do publicznej wiadomości swoją opinię na temat pracy dyrektora placówki poprzez jej udostępnienie na swojej stronie internetowej. GIODO uznał, że w takiej sytuacji nie dochodzi do naruszenia przepisów ustawy o ochronie danych osobowych: X będąc dyrektorem przedszkola powinna liczyć się z tym, że jej dane osobowe, jako osoby sprawującej funkcję publiczną, podlegają słabszej ochronie niż dane zwykłych osób. Pełniąc bowiem ww. funkcję niejako bierze udział w życiu publicznym gminy (dzielnicy) i jest identyfikowana z imienia i nazwiska, a jej praca podlega różnym ocenom, również społeczności lokalnej, której powinny być znane jej osiągnięcia związane z pełnioną ww. funkcją 65

66 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów dopuszczalność publikowania na stronach internetowych np. wizerunku uczniów, ocen uzyskiwanych przez uczniów, osiągnięć sportowych - w ocenie GIODO, działanie takie wymaga spełnienia przez szkołę co najmniej jednej przesłanki dopuszczającej opublikowanie danych, tj. zgoda rodziców (opiekunów prawnych) lub pełnoletnich uczniów, lub istnienie przepisu prawa dopuszczającego taką formę przetwarzania danych w innym przypadku opublikowanie danych będzie niezgodne z prawem 66

67 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów art. 81 ustawy z dnia 4 lutego 1994 r. - Prawo autorskie (Dz. U. z 2006 r. Nr 90, poz. 631 z późn. zm.) rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej zezwolenia nie wymaga rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości, takiej jak zgromadzenie, krajobraz, publiczna impreza 67

68 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Opinia nr 2/2009 w sprawie ochrony danych osobowych dzieci przyjęta w dniu 11 lutego 2009 r. na posiedzeniu Grupy Roboczej Artykułu 29 ds. ochrony danych Jeśli szkoła ma zamiar publikować fotografie uczniów musi pozyskać zgodę rodziców bądź innych przedstawicieli prawnych (lub samego dziecka jeśli jest ono już wystarczająco dojrzałe). W przypadku zdjęć zbiorowych, zwłaszcza w przypadku różnych wydarzeń na terenie szkoły oraz na podstawie przepisów krajowych szkoły nie muszą występować o wstępną zgodę, jeśli fotografia nie pozwala na jednoznaczną identyfikację uczniów. W takich przypadkach szkoły muszą jednak poinformować uczniów, rodziców i przedstawicieli prawnych, że robione będą zdjęcia i że będą one publikowane. To da możliwość zgłoszenia swojego sprzeciwu wobec bycia uwiecznionym na zdjęciu. 68

69 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych absolwentów Wyrok NSA Warszawa, I OSK 667/09 z r. Wizerunek umieszczony na zdjęciu klasowym wykonanym przed trzydziestoma laty wraz opatrzeniem go imieniem i nazwiskiem, a następnie zamieszczonym na stronie internetowej stanowi dane osobowe w rozumieniu art. 6 ust. 2 ustawy o ochronie danych osobowych Szkoła, która chciałaby dokonać publikacji takiego zdjęcia z podpisami na swojej stronie internetowej musi uzyskać na to zgodę osób znajdujących się na zdjęciu 69

70 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów warto uzyskać jednorazową zgodę na przetwarzanie danych osobowych dziecka przez cały rok szkolny należy pamiętać, że nie jest to zgoda na dysponowanie danymi w dowolnym celu, ale tylko w tym, o którym wyraźnie poinformowaliśmy rodziców zgoda rodziców na przetwarzanie danych osobowych dziecka nie zwalnia dyrektora szkoły, bądź upoważnionej przez niego osoby, która przetwarza dane, z obowiązku rozsądnego myślenia o tym, w jaki sposób to robi udostępnienie zdjęć dziecka w internecie może oznaczać umieszczenie zdjęcia ucieszonego dziecka, które wygrało właśnie zawody pływackie, i filmiku, na którym dziecko na tych samych zawodach w fatalny sposób spada ze słupka startowego, co może być powodem ośmieszenia dziecka 70

71 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów obowiązek noszenia przez uczniów identyfikatorów zawierających imię, nazwisko ucznia, wizerunek ucznia i nazwę klasy do której uczeń uczęszcza według GIODO działanie takie jest dopuszczalne, jeśli wynika ze statutu szkoły, który powinien określać prawa i obowiązki uczniów, lub innych wewnętrznych przepisów obowiązujących w danej szkole udostępnienie Kurii przez katechetę danych dzieci nie uczęszczających na religię GIODO uznał za dopuszczalne ujawnienie danych uczniów, ale tylko wyznania katolickiego, jeżeli takie działanie jest niezbędne do wykonywania przez Kościół jego statutowych działań 71

72 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów legalność wywieszania na tablicy ogłoszeń listy nazwisk dzieci z kwotą zaległych opłat za komitet rodzicielski zgodnie ze stanowiskiem GIODO, administrator powinien dysponować chociaż jedną przesłanką umożliwiającą przetwarzanie danych (np. zgoda rodzica), inaczej jest to nielegalne wywieszenia w miejscu publicznie dostępnym listy uczniów, których nie można zabierać na wycieczki szkolne, ponieważ nie są one ubezpieczone GIODO uznał za rażące naruszenie obowiązku prawidłowego zabezpieczenia danych osobowych 72

73 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów czy nauczyciele mogą wyrazić zgodę na to, by przedstawiciele firmy marketingowej w trakcie prowadzonych lekcji, gromadzili informacje o uczniach i ich rodzicach (imieniu, nazwisku, numerze telefonu) w celu prowadzenia akcji marketingowej? Zgodę na wykorzystywanie danych osobowych uczniów w celach marketingowych mogą wyrazić tylko sami uczniowie, w przypadku gdy są pełnoletni, a jeśli są niepełnoletni, zgodę wyrażają rodzice (opiekunowie prawni) 73

74 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów bez zgody zainteresowanych osób (rodziców lub pełnoletnich uczniów) szkoła nie może udzielać żadnych informacji dotyczących stanu zdrowia uczniów! informacją taką jest nie tylko to, jakie uczeń przeszedł choroby, ale też ile godzin nieobecności w szkole ma ze względu na zwolnienia chorobowe 74

75 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów zasada czystego stołu sprawdzanie w domu zeszytów z pracami uczniów sprawdzanie w domu zeszytów z pracami uczniów może spowodować ujawnienie danych osobowych uczniów np. wypracowanie z języka polskiego dotyczące sytuacji rodzinnej może zawierać bardzo intymne dane dotyczące danego ucznia na nauczycielu spoczywa obowiązek podjęcia wszystkich możliwych działań, by ograniczyć czy zminimalizować ryzyko wypływu danych 75

76 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów czy pozwalanie, by uczeń odniósł dziennik do pokoju nauczycielskiego, jest łamaniem prawa? przekazywanie dziennika lekcyjnego osobie nieuprawnionej, czyli uczniowi, ale także rodzicowi czy sprzątaczce, jest sprzeczne z przepisami dotyczącymi ochrony danych osobowych należy mieć świadomość, że w chwili obecnej uczeń może zeskanować" telefonem komórkowym całość dziennika wraz ze wszystkimi uwagami, po czym natychmiast przekazać je dalej 76

77 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów w jakich sytuacjach szkoła może udostępnić dane osobowe ucznia takim instytucjom jak np. policja czy pomoc społeczna? 77

78 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Udostępnianie danych osobowych uczniów podstawą uprawniającą policję do przetwarzania danych osobowych są m.in. przepisy ustawy z dnia 6 kwietnia 1990 r. o policji (Dz. U. z 2011 r. Nr 287, poz ze zm.) określające sytuacje, w których policja może żądać pomocy od różnych instytucji oraz na czym ta pomoc ma polegać w ustawie z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2013 r. Nr 182), jest mowa o udzielaniu na wniosek pracownika socjalnego informacji mających znaczenie dla rozstrzygnięcia o przyznaniu i wysokości świadczeń pomocy społecznej nie należy przekazywać wszystkich danych ucznia, które są w posiadaniu szkoły, a tylko te, wynikające z konkretnych przepisów nie udzielamy informacji telefonicznie! zakres przekazywanych przez szkołę danych reguluje też np. ustawa z 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (Dz. U. Nr 180, poz ze zm.) oraz przepisy dotyczące programu wieloletniego "Pomoc państwa w zakresie dożywiania" 78

79 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Zakres danych przetwarzanych przez szkoły żądanie podania szczegółowych danych osobowych rodziców na pierwszej stronie dzienniczka ucznia GIODO uznał, że przepisy nie wskazują, jakie dane powinien zawierać dzienniczek ucznia, wobec czego żądanie podania szczegółowych danych osobowych rodziców nie jest zgodne z prawem 79

80 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Zakres danych przetwarzanych przez szkoły dopuszczalność umieszczania w dziennikach lekcyjnych danych osobowych rodziców według GIODO umieszczanie w dziennikach lekcyjnych danych osobowych rodziców jest dopuszczalne w zakresie wynikającym z rozporządzenia Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji 80

81 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Zakres danych przetwarzanych przez szkoły zbieranie informacji o miejscu pracy i stanowisku zajmowanym przez rodzica - GIODO uznaje, że zbieranie informacji np. o miejscu pracy oraz stanowisku zajmowanym przez rodzica (w celu szybkiego kontaktu z rodzicami dziecka) nie wynika wprost z przepisów prawa. Nie ma zatem obowiązku podawania przez rodzica informacji o miejscu i stanowisku pracy, a przetwarzanie tych informacji jest dopuszczalne tylko wówczas, gdy osoba, której dotyczą, wyrazi na to zgodę. 81

82 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Zakres danych przetwarzanych przez szkoły pozyskiwanie numeru telefonu rodzica - wyjątkiem od wyżej wspomnianej zasady jest pozyskiwanie przez administratora danych numeru telefonu rodzica (opiekuna prawnego); pomimo braku informacji o numerze telefonu w przepisach rozporządzenia w sprawie prowadzenia dokumentacji, zaryzykować można stwierdzenie, że przetwarzanie tej informacji mieści się w granicach prawnie usprawiedliwionego celu administratora danych. 82

83 OCHRONA DANYCH OSOBOWYCH W SZKOLE - WYBRANE ZAGADNIENIA Z ZAKRESU DZIAŁALNOŚCI GIODO Zakres danych przetwarzanych przez szkoły instalowanie kamer wizyjnych w szkołach w ocenie GIODO praktykę uznać należy za zgodną z przepisami o ochronie danych osobowych, pozwalającą na szybszą reakcję w przypadku np. używania siły w kontaktach między uczniami; jako podstawę przetwarzania wskazuje się zapewnienie bezpieczeństwa publicznego zgodnie z ustawą z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2005 r. Nr 145, poz z późn. zm.) 83