rejestracji zbiorów danych osobowych przez poradnie psychologiczno-pedagogiczne.

Podobne dokumenty
WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Rejestracja bazy danych w GIODO. Poradnik dla administratorów sklepów w Chmurze Comarch

Przetwarzanie danych osobowych w przedsiębiorstwie

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Zespół Kształcenia i Wychowania w Kamienicy Szlacheckiej REJESTR ZBIORÓW. Administrator Danych Bernadeta kucyk - dyrektor

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

PolGuard Consulting Sp.z o.o. 1

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

INSTRUKCJA ZGŁOSZENIA ZBIORU DANYCH OSOBOWYCH NA PRZYKŁADZIE ZBIORU KORESPONDENCJA

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

II Lubelski Konwent Informatyków i Administracji r.

Ochrona danych osobowych w praktyce szkolnej. Suwałki, 7 marca 2013r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

Zwykłe dane osobowe, a dane wrażliwe

Monitoring wizyjny a ochrona danych osobowych

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

ABC rejestracji zbiorów danych osobowych

Dane osobowe na potrzeby prowadzenia działań windykacyjnych -1-

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

Szkolenie. Ochrona danych osobowych

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

SPIS ZBIORÓW DANYCH OSOBOWYCH

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

Zbiór danych osobowych Skargi, wnioski, podania

SPIS ZBIORÓW DANYCH OSOBOWYCH. Metryka wpisu zbioru do rejestru. Informacje o administratorze danych osobowych

REJESTR ZBIORÓW. z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru

Bezpieczeństwo danych osobowych listopada 2011 r.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

Podstawowe obowiązki administratora danych osobowych

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Ochrona danych osobowych przy obrocie wierzytelnościami

Ochrona danych osobowych w służbie zdrowia

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

Ochrona danych osobowych w administracji publicznej

Profesjonalny Administrator Bezpieczeństwa Informacji

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

wraz z wzorami wymaganej prawem dokumentacją

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

Ochrona wrażliwych danych osobowych

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. Departament Inspekcji

Jak stworzyć sprawny system ochrony danych osobowych? Łukasz Zegarek, ekspert ds. ochrony danych osobowych

JAWNY Rejestr Zbiorów Danych Osobowych przetwarzanych w Spółdzielni Mieszkaniowej w Żarach ( uodo Art.36 ust.2) trzecia część

Ochrona danych osobowych

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

R O D O - N o w e z a s a d y p r z e t w a r z a n i a d a n y c h o s o b o w y c h


Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Jak zadbać o bezpieczeństwo na Osiedlu

Ustawa o ochronie danych osobowych po zmianach

Zmiany w ustawie o ochronie danych osobowych

Co należy zaznaczyć wypełniając wniosek do GIODO podpowiedzi iwareprint

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

MEMORANDUM INFORMACYJNE

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

Dokumentacja ochrony danych osobowych w firmie

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

59 zł netto zamiast 295! Oszczędzasz 80%

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Załącznik 5. UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową. zawarta w... w dniu... r. pomiędzy:

Spółdzielnia Mieszkaniowa Ksawerów

POLITYKA PRYWATNOŚCI LANDINGHERO.com

Warsztat specjalistyczny

Informacja o projekcie: Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczace wykorzystania monitoringu wizyjnego

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Dane osobowe w data center

Załącznik nr 8 do SIWZ

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

System bezpłatnego wsparcia dla NGO

1 z :46

Umowa powierzenia przetwarzania danych osobowych

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

Radom, 13 kwietnia 2018r.

Transkrypt:

Rejestracja zbiorów danych osobowych przez poradnie psychologicznopedagogiczne Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist specjalizujący się w dziedzinie ochrony danych osobowych Podstawa prawna: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (t.j. Dz.U. z 2008 r. Nr 229 poz. 1536 ze. zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (t.j. Dz.U. z 2004 r. Nr 100 poz. 1024 ze zm.). Na każdym administratorze danych, a więc również i na poradni psychologicznopedagogicznej, ciąży obowiązek rejestracji zbiorów danych osobowych w jawnym rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ten wynika z art. 40 Ustawy o ochronie danych osobowych (uodo), a jego niedopełnienie może wiązać się z poniesieniem odpowiedzialności karnej. Zgodnie bowiem z art. 53 uodo ten, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jakie zatem działania powinien podjąć dyrektor poradni, aby nie narazić się na przewidzianą przez przepisy uodo odpowiedzialność? Jakie zbiory danych przetwarzane przez poradnie psychologiczno-pedagogiczne podlegają obowiązkowi zgłoszenia? Czy powołanie Administratora Bezpieczeństwa Informacji (ABI) ma wpływ na obowiązek zgłoszenia zbiorów danych? Jak wreszcie poprawnie wypełnić wniosek rejestracyjny? Odpowiedź na te i inne pytania znajdą Państwo w niniejszym artykule poświęconym w całości kwestii rejestracji zbiorów danych osobowych przez poradnie psychologiczno-pedagogiczne. Krok 1. Identyfikacja zbioru Przedmiotem zgłoszenia jest zbiór danych osobowych. Pierwszy krok, jaki należy zatem podjąć na etapie poprzedzającym rejestrację, to wyodrębnienie wszystkich zbiorów danych przetwarzanych przez poradnię. Zgodnie z art. 7 pkt 1 uodo zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W związku z tym, że każdy podmiot jest inny i w zależności od przyjętego modelu funkcjonuje inaczej, nie jest możliwe stworzenie uniwersalnej, zamkniętej listy zbiorów danych, występujących w każdej poradni. Biorąc jednak pod uwagę przedmiot działalności poradni, możemy wyróżnić przykładowe zbiory danych, które przetwarzają tego typu placówki, są to m.in.: zbiór Pracownicy obejmujący nie tylko dane osób zatrudnionych w ramach stosunku pracy (np. na podstawie umowy o pracę), ale również w ramach zatrudnienia cywilnoprawnego (np. na podstawie umowy o dzieło czy też umowy zlecenia), zbiór Rejestr korespondencji obejmujący dane nadawców i odbiorców korespondencji,

zbiór Kontrahenci obejmujący dane osobowe podmiotów świadczących usługi na rzecz poradni, zbiór Osoby korzystające z pomocy poradni obejmujący dane klientów zgłaszających się do poradni (dzieci, uczniów, ich rodziców/opiekunów prawnych). Tak jak zaznaczono powyżej, wyliczenie to należy traktować pomocniczo i zostało ono przedstawione w celu zobrazowania pojęcia zbiór danych osobowych. Kolejnym etapem, po wyodrębnieniu zbiorów przetwarzanych przez poradnię jako ich administratora, jest wyłonienie spośród nich zbiorów podlegających rejestracji. Wyjątki, które zwalniają z obowiązku rejestracji, zostały wymienione w art. 43 ust. 1 i 1a uodo. Ponieważ ich katalog jest dość szeroki, wymienimy tylko te przypadki, które mogą znaleźć zastosowanie w poradniach. I tak, zgodnie z powołanym wyżej artykułem uodo, z obowiązku rejestracji zwolnieni są m.in. administratorzy danych: przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (art. 43 ust. 1 pkt 4 uodo), przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe, czyli np. dane o stanie zdrowia (art. 43 ust. 1 pkt 12 uodo). Od 1 stycznia 2015 r. obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe, nie podlegają również administratorzy danych, którzy powołali Administratora Bezpieczeństwa Informacji i zgłosili go Generalnemu Inspektorowi do rejestracji (art. 43 ust. 1a uodo). Każde z wyżej wymienionych zwolnień będzie miało znaczenie w kontekście wcześniej podanych przykładów zbiorów, które mogą być przetwarzane przez poradnię jako ich administratora. Zbiór Pracownicy podlegał będzie zwolnieniu wskutek przetwarzania w nim danych w związku z zatrudnieniem u administratora danych. Zbiór Rejestr korespondencji skorzysta ze zwolnienia, jeżeli będzie przetwarzany w formie papierowej lub, w przypadku wykorzystania systemu informatycznego, jeżeli w poradni powołano ABI-ego. Ze zwolnienia w związku z powołaniem Administratora Bezpieczeństwa Informacji może skorzystać również zbiór Kontrahenci. Natomiast zbiorem, który bezwzględnie podlegał będzie rejestracji, jest zbiór Osoby korzystające z pomocy poradni z uwagi na przetwarzanie w nim danych wrażliwych (m.in. stan zdrowia, orzeczenia wydane w postępowaniu sądowym lub administracyjnym). Krok 2. Wypełnienie wniosku Zgłoszenia zbioru danych osobowych należy dokonać na formularzu, którego wzór stanowi załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wniosek rejestracyjny składa się z 6 części (od A do F). Przed rozpoczęciem wypełniania zgłoszenia należy określić, czego ono dotyczy, poprzez zakreślenie właściwego pola odpowiadającego rodzajowi zgłoszenia. Możliwości, a co za tym również i pola, są trzy. Pierwsze pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych

osobowych. Drugie pole dotyczy zgłoszenia zmian zaistniałych po zgłoszeniu zbioru danych osobowych do rejestracji. Trzecie pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym są przetwarzane dane wrażliwe. Po zaznaczeniu właściwego pola możemy przejść do dalszej części zgłoszenia. Część A. Nazwa zbioru danych Administrator danych, czyli poradnia psychologiczno-pedagogiczna (pamiętajmy, że dyrektor poradni jest tylko osobą ją reprezentującą!), zobowiązany jest do określenia nazwy zgłaszanego zbioru. Powinna być ona zwięzła i adekwatna do rodzaju przetwarzanych w nim danych osobowych. Część B. Charakterystyka administratora danych Część B stanowi charakterystykę podmiotu dokonującego zgłoszenia. Jest nim administrator danych, a więc w naszym przypadku poradnia psychologiczno-pedagogiczna. W polu dotyczącym wnioskodawcy wpisujemy zatem pełną nazwę placówki, dokładny adres i numer REGON. Kolejny punkt odnosi się do przedstawiciela wnioskodawcy (obowiązek jego wyznaczenia spoczywa na podmiocie niemającym siedziby/miejsca zamieszkania w państwie należącym do Europejskiego Obszaru Gospodarczego). Zatem w przypadku poradni mających siedzibę w Polsce, pole to pozostawiamy puste lub je przekreślamy. W kolejnym fragmencie wniosku musimy podać informacje dotyczącą tego, czy poradnia powierza lub też czy planuje powierzyć przetwarzanie danych osobowych zawartych w zgłaszanym zbiorze. W przypadku powierzenia danych innemu podmiotowi należy w punkcie tym podać nazwę i siedzibę podmiotu, któremu powierzono przetwarzanie danych osobowych. Poradnia powierza dane np. w sytuacji, gdy korzysta z usług firmy zewnętrznej zajmującej się konserwacją i wykonywaniem kopii zapasowych systemów informatycznych wykorzystywanych przez placówkę. Podmiot ten będzie miał bowiem dostęp do przetwarzanych przy ich użyciu danych. Warto podkreślić, iż w takim wypadku przepisy nakładają na poradnię obowiązek zawarcia pisemnej umowy powierzenia przetwarzania danych, spełniającej wymogi określone w art. 31 uodo. Inną sytuacją związaną z powierzaniem przetwarzania danych osobowych jest korzystanie przez daną placówkę z usług biura rachunkowego lub pomocy kancelarii prawnych (wówczas podmioty te uzyskują dostęp do określonych danych osobowych, np. pracowników czy klientów lub kontrahentów poradni). Czwarty element części B dotyczy niezwykle ważnej kwestii, a mianowicie podstawy prawnej upoważniającej do przetwarzania danych zawartych w zgłaszanym zbiorze. Przesłanki, których spełnienie legalizuje dokonywanie operacji na danych osobowych, zostały wymienione w art. 23 uodo. Należą do nich: zgoda osoby, której dane dotyczą (chyba że chodzi o usunięcie danych), niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub niezbędność do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego, niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dla przykładu, przesłanką legalizującą przetwarzanie danych ze zbioru Osoby korzystające z pomocy poradni jest przepis prawa (Ustawa o systemie oświaty). Prowadząc rejestr korespondencji, poradnie najczęściej powołują się na wypełnianie prawnie usprawiedliwionych celów. Z kolei przetwarzając dane zawarte w zbiorze Kontrahenci, przeważnie odwołujemy się do konieczności realizacji umowy. Warto podkreślić, iż spełnienie już jednej przesłanki pozwala na zgodne z prawem przetwarzanie danych zawartych w konkretnym zbiorze. Część C. Zakres i cel przetwarzania danych Kolejna część wniosku odnosi się do 3 elementów, a mianowicie: celu przetwarzania danych, opisu kategorii osób, których dane dotyczą, zakresu przetwarzanych danych. Celem przetwarzania danych może być przykładowo realizacja obowiązków określonych w przepisach prawa (w odniesieniu do zbioru Osoby korzystające z pomocy poradni ), prowadzenie ewidencji korespondencji przychodzącej i wychodzącej (w stosunku do zbioru Rejestr Korespondencji) czy też współpraca z dostawcami towarów i usług dla poradni (w przypadku zbioru Kontrahenci ). Przykładowymi kategoriami osób, których dane dotyczą, będą np. odpowiednio klienci zgłaszający się do poradni (dzieci, uczniowie, ich rodzice/opiekunowie prawni), nadawcy i odbiorcy korespondencji oraz osoby fizyczne reprezentujące podmioty dostarczające towary i usługi dla poradni. W punkcie 7 i 8 tej części wniosku musimy wskazać, jakie kategorie danych wchodzą w skład rejestrowanego zbioru. Najpierw zaznaczamy te, które wymieniono w punkcie 7, a następnie w punkcie 8 wypisujemy pozostałe, które nie znalazły się w przykładowym katalogu z punktu 7. Punkty 9 i 10 części C wniosku wypełniamy wyłącznie wtedy, gdy rejestrowany przez nas zbiór zawiera tzw. dane wrażliwe (zostały one wymienione w art. 27 uodo i tak jak wcześniej wspomniano, zaliczymy do nich m.in. stan zdrowia oraz orzeczenia wydane w postępowaniu sądowym lub administracyjnym). Pamiętajmy, iż wówczas na samym początku wniosku musimy zaznaczyć ostatnią rubrykę (a zatem konieczne jest wskazanie, że chcemy zarejestrować zbiór zawierający dane określone w art. 27 uodo). Rejestrowanym przez poradnie zbiorem zawierającym dane wrażliwe będzie np. zbiór zawierający dane osobowe osób korzystających z pomocy placówki. Część D. Sposób zbierania oraz udostępniania danych osobowych

Ta część wniosku rejestracyjnego dotyczy sposobu zbierania i udostępniania danych ze zbioru. Dane mogą być zbierane bezpośrednio od osób, których one dotyczą i/lub z innych źródeł. Obie metody zatem nie wykluczają się. Punkty 12 i 13 wniosku są ze sobą powiązane, odnoszą się bowiem do kwestii udostępniania danych. Wyjaśnienia wymaga w tym miejscu, iż termin udostępnianie nie jest tożsamy z powierzaniem. Udostępniając dane innemu podmiotowi, przekazujemy je i jednocześnie tracimy nad nimi kontrolę. Natomiast powierzenie danych nie skutkuje utratą kontroli nad danymi. Inaczej określamy też podmioty zewnętrzne. W odniesieniu do udostępniania danych mówimy o odbiorcy danych, z kolei w przypadku powierzenia o przyjmującym w powierzenie lub inaczej procesorze. Pole 14 wypełniamy tylko w sytuacji, gdy dane są przekazywane do państwa nienależącego do Europejskiego Obszaru Gospodarczego. Punkt ten w przypadku poradni pozostaje zazwyczaj pusty. Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 39 uodo Kolejna część zgłoszenia dotyczy środków technicznych i organizacyjnych, jakie zastosowano w poradni w celu zabezpieczenia przetwarzanych danych. W punkcie 15 należy wskazać sposób, w jaki dane ze zgłaszanego zbioru są przetwarzane. Podpunkt a): przetwarzanie danych centralnie zachodzi, gdy dane zlokalizowane są (zarówno te w wersji papierowej, jak i elektronicznej) w jednym pomieszczeniu lub jednym budynku, przetwarzanie danych w architekturze rozproszonej oznacza, iż dane znajdują się przykładowo na kilku serwerach w różnych budynkach. Podpunkt b) w nim zaznaczamy, czy przetwarzamy dane wyłącznie w wersji papierowej, czy też z użyciem systemu informatycznego (zwróćmy uwagę, iż możemy tu zaznaczyć tylko jedną odpowiedź). Podpunkt c) odnosi się on do kwestii używania systemu informatycznego, który jest połączony z siecią publiczną (udzielona odpowiedź będzie miała znaczenie dla poziomu środków bezpieczeństwa, gdyż połączenie ze wskazaną siecią skutkuje obowiązkiem zastosowania środków na poziomie wysokim). Punkt 16 odnosi się ściśle do wymogów określonych w art. 36-39 uodo. Zatem wszystkie punkty od a) do d) muszą być zaznaczone. Ale uwaga, w punkcie 16 a) możemy zaznaczyć wyłącznie jedną rubrykę. Fragment ten odnosi się do Administratora Bezpieczeństwa Informacji. Warto zwrócić na to uwagę, gdyż bardzo często wypełniając wniosek, możemy nieopatrznie zaznaczyć w punkcie 16 a) dwie odpowiedzi, które przecież wzajemnie się wykluczają. Oczywiście poradnie mogą wprowadzać również dodatkowe środki zwiększające bezpieczeństwo przetwarzanych danych. Jeśli taka sytuacja ma miejsce, należy zaznaczyć

rubrykę w punkcie 16 f) i wskazać dokładnie, jakie środki zastosowano (np. wyznaczono Administratora Systemów Informatycznych). Część F. Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Ostatni fragment wniosku odnosi się do systemów informatycznych, jakie poradnia wykorzystuje do przetwarzania danych ze zbioru. W tym przypadku należy wskazać poziom środków bezpieczeństwa zastosowanego przez placówkę. Możliwości są trzy: poziom podstawowy, poziom podwyższony, poziom wysoki. Podleganie określonemu poziomowi wynika z kategorii przetwarzanych danych osobowych oraz występujących zagrożeń. I tak: jeżeli przetwarzamy tzw. dane wrażliwe, należy zastosować środki bezpieczeństwa przynajmniej na poziomie podwyższonym, w przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną należy stosować środki na poziomie wysokim. W pozostałych przypadkach wystarczające jest zastosowanie środków bezpieczeństwa na poziomie podstawowym. Oczywiście, jeśli podlegamy konkretnemu poziomowi, możemy zastosować środki przewidziane dla wyższego poziomu. Opis poszczególnych środków przewidzianych dla danego poziomu stanowi załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ostatnim elementem wypełniania wniosku jest złożenie podpisu i podbicie pieczątki przez osobę reprezentującą administratora danych, a więc dyrektora poradni. Bez tego albo wniosek nie zostanie przyjęty, albo GIODO wystosuje pismo wzywające do usunięcia braków, pod rygorem pozostawienia pisma bez rozpoznania. Wypełniony wniosek rejestracyjny można przesłać pocztą lub złożyć osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa). Zgłoszenia można dokonać także drogą elektroniczną z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej GIODO pod adresem www.egiodo.giodo.gov.pl. Aplikacja ta jest bardzo pomocna, wymusza bowiem podanie informacji, które zgodnie z przepisami powinny znaleźć się w zgłoszeniu, a dodatkowo uniemożliwia podanie informacji nieprecyzyjnych lub

sprzecznych (dzięki systemowi podpowiedzi i komunikatów o popełnionych błędach). Jeśli zatem dysponujemy podpisem elektronicznym, warto skorzystać z tej drogi wypełniania i zgłoszenia wniosku. Krok 3. Rozpoczęcie przetwarzania Zgodnie z art. 46 ust. 1 uodo administrator danych może rozpocząć przetwarzanie danych w zbiorze dopiero po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Oznacza to, że zgłoszenia zbioru do rejestracji należy dokonać jeszcze przed rozpoczęciem przetwarzania danych, czyli przed dokonaniem pierwszej czynności na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Jednakże gdy poradnia zamierza przetwarzać w zbiorze tzw. dane wrażliwe, to zbieranie tego typu danych, zgodnie z art. 46 ust. 2 uodo, można rozpocząć dopiero po zarejestrowaniu zbioru, chyba że ustawa zwalnia z tego obowiązku. Inaczej mówiąc, w takiej sytuacji placówka musi zaczekać do momentu, gdy otrzyma zaświadczenie o zarejestrowaniu określonego zbioru danych i dopiero z tą chwilą może rozpocząć dokonywanie jakichkolwiek operacji na danych. W praktyce jednak rzadko zdarza się, że administratorzy danych zgłaszają jeszcze puste zbiory danych. Mało prawdopodobne jest, aby GIODO nałożył na poradnię karę, w sytuacji kiedy zbiór zostanie zgłoszony do rejestracji już po rozpoczęciu przetwarzania zawartych w nim danych. Niemniej jednak poradnie nie powinny odkładać rejestracji zbiorów na później. Złożenie wniosków rejestracyjnych zbiorów danych podlegających ujawnieniu w rejestrze GIODO, powinno nastąpić możliwie jak najszybciej od momentu rozpoczęcia gromadzenia danych. GIODO co do zasady nie wydaje zaświadczeń potwierdzających rejestrację zbioru. Wyjątek stanowi rejestracja zbiorów obejmujących tzw. dane wrażliwe. Wówczas, po dokonaniu rejestracji takiego zbioru, Generalny Inspektor wydaje administratorowi danych zaświadczenie o zarejestrowaniu zbioru. Zaświadczenie o rejestracji zbioru obejmującego dane zwykłe może być wydane na żądanie administratora danych. Na administratorze danych osobowych spoczywa również obowiązek zgłaszania do GIODO każdej zmiany informacji zawartej w zgłoszeniu. Aktualizacji należy dokonać w terminie 30 dni od dnia dokonania zmiany. Obowiązek ten dotyczy np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze. Jeżeli zmiana informacji odnośnie opisu kategorii osób, których dane dotyczą i zakresu przetwarzanych danych dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, zmianę należy zgłosić jeszcze przed jej dokonaniem. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbioru danych. Dla poradni oznacza to przede wszystkim to, iż zgłoszenia zmian dokonuje na tym samym formularzu, który służy do zgłoszenia zbioru danych do rejestracji. Podsumowanie Zgłoszenie zbiorów danych w rejestrze prowadzonym przez GIODO jest jednym z warunków, jaki należy spełnić, aby przetwarzać dane osobowe zgodnie z prawem. W odniesieniu do poradni psychologiczno-pedagogicznych, zwłaszcza tych, w których

powołano i zgłoszono do rejestracji Administratora Bezpieczeństwa Informacji, wiele zbiorów będzie podlegało zwolnieniu z omawianego obowiązku. Pozostałe należy zgłosić, wypełniając wniosek rejestracyjny, co wbrew pozorom nie jest zadaniem trudnym. Jak pokazała lektura niniejszego artykułu, wystarczy bardzo dokładnie czytać poszczególne elementy zgłoszenia. W przypadku wątpliwości warto również skorzystać z platformy www.egiodo.giodo.gov.pl, a także materiałów informacyjnych zamieszczonych na portalu informacyjno-edukacyjnym www.edugiodo.giodo.gov.pl.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres