Przewodnik po ochronie danych osobowych

Podobne dokumenty
Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

Przewodnik po ochronie danych osobowych

Ochrona wrażliwych danych osobowych

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Szkolenie. Ochrona danych osobowych

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Zbiór danych osobowych Skargi, wnioski, podania

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

II Lubelski Konwent Informatyków i Administracji r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

1 z , 17:00

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

Przetwarzanie danych osobowych w przedsiębiorstwie

DANE OSOBOWE DOBREM OSOBISTYM XXI WIEKU. PAMIĘTAJ!!!! Prywatność jest wartością tak cenną, że musi być chroniona przez prawo.

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

System bezpłatnego wsparcia dla NGO

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Zbiór danych osobowych MIGAWKI

Ryzyko nadmiernego przetwarzania danych osobowych

Ochrona danych osobowych

Dane osobowe na potrzeby prowadzenia działań windykacyjnych -1-

SPIS ZBIORÓW DANYCH OSOBOWYCH. Metryka wpisu zbioru do rejestru. Informacje o administratorze danych osobowych

Zwykłe dane osobowe, a dane wrażliwe

OCHRONA DANYCH OSOBOWYCH

Podstawowe obowiązki administratora danych osobowych

SPIS ZBIORÓW DANYCH OSOBOWYCH

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

BIURO GIODO Departament Inspekcji

Ochrona danych osobowych przy obrocie wierzytelnościami

Ustawa o ochronie danych osobowych po zmianach

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

KRYTERIA OCENY OFERT PO NOWELIZACJI USTAWY PZP

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

WARUNKI UDZIAŁU W POSTĘPOWANIU PO NOWELIZACJI USTAWY PZP

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

KRYTERIA OCENY OFERT PO NOWELIZACJI USTAWY PZP

Zmiany w ustawie o ochronie danych osobowych

PolGuard Consulting Sp.z o.o. 1

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach


Jak stworzyć sprawny system ochrony danych osobowych? Łukasz Zegarek, ekspert ds. ochrony danych osobowych

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Ochrona danych osobowych

RODO A DANE BIOMETRYCZNE

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Podstawowe zasady przetwarzania danych osobowych:

Monitoring wizyjny a ochrona danych osobowych

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Bezpieczeństwo danych osobowych listopada 2011 r.

Ochrona danych osobowych

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

1 z :46

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Co należy zaznaczyć wypełniając wniosek do GIODO podpowiedzi iwareprint

OCHRONA DANYCH OSOBOWYCH

Szkolenie podstawowe z ustawy o ochronie danych osobowych, w związku z realizacją zadań w zakresie przeciwdziałania przemocy w rodzinie.

REJESTR ZBIORÓW DANYCH OSOBOWYCH

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Przetwarzania danych osobowych

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

Prywatność danych i sieć Internet. Tomasz Kaszuba 2016

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

darmowy fragment Ochrona Danych Osobowych. Poradnik dla przedsiębiorców Wydanie II, Rybnik 2011 Wszelkie prawa zastrzeżone!

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

DZIELNICOWY KONKURS PLASTYCZNY GIODO ważna sprawa skierowany do uczniów szkół podstawowych Dzielnicy Ursus m.st. Warszawy

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

OCHRONA DANYCH OSOBOWYCH

STANOWISKO W SPRAWIE PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ GMINNE KOMISJE ROZWIĄZYWANIA PROBLEMÓW ALKOHOLOWYCH

Warsztat specjalistyczny

Ochrona danych osobowych w służbie zdrowia

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Polityka Prywatności portalu 1. Postanowienia ogólne

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

Transkrypt:

Dariusz Skrzyński Przewodnik po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej

Przewodnik po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej Dariusz Skrzyński

Autor: Dariusz Skrzyński Redaktor prowadzący: Wioleta Szczygielska Wydawca: Weronika Wota Korekta: Zespół Projekt okładki: Magdalena Huta Skład i łamanie: IGAWA Ireneusz Gawliński Druk: Miller Druk sp. z o.o. Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, 03-918 Warszawa tel.: 22 518 29 29, faks: 22 617 60 10 Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i ich tytułach. Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach, podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpowszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło. Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyjny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją. Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wydawca ani Redakcja nie świadczy żadnych usług prawnych. Nie mogą być one również traktowane jako oficjalne stanowisko organów i urzędów państwowych. Zastosowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji lub opinii prawnej. Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzialności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informacji zawartych w tych materiałach.

Spis treści CZĘŚĆ I OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH... 9 1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r.... 11 2. Regulacje prawne dotyczące ochrony danych osobowych... 15 3. Dane osobowe... 17 3.1. Dane osobowe zwykłe... 17 3.2. Dane osobowe wrażliwe... 19 4. Przetwarzanie danych osobowych... 19 4.1. Definicja przetwarzania danych osobowych... 19 4.2. Dopuszczalność przetwarzania... 20 4.3. Przesłanki legalności przetwarzania danych... 20 4.4. Katalog danych osobowych przetwarzanych przez placówki oświatowe.. 22 4.5. Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie.. 23 4.6. Dane osobowe pracowników szkoły i przedszkola... 25 4.7. Dane osobowe rodziców i uczniów przetwarzane na podstawie ustawy o systemie oświaty i jej aktów wykonawczych... 27 4.8. Powierzenie przetwarzania danych osobowych... 30 5. Dokumentacja związana z przetwarzaniem danych osobowych... 31 5.1. Rodzaj dokumentacji związanej z przetwarzaniem danych osobowych w szkole... 31 5.2. Polityka bezpieczeństwa... 32 5.3. Instrukcja zarządzania systemem informatycznym... 35 5.4. Upoważnienia dla pracowników... 37 5.5. Ewidencja upoważnień... 38 5.6. Umowy powierzenia przetwarzania danych osobowych... 38 6. Zbiór danych osobowych... 39 6.1. Definicja zbioru danych osobowych... 39 6.2. Wykaz zbiorów danych osobowych w placówkach oświatowych... 40 7. Rejestracja zbiorów danych osobowych w GIODO... 40 7.1. Obowiązek rejestrowania zbiorów danych osobowych... 40 7.2. Zwolnienie z obowiązku rejestracji zbioru danych pracowników szkoły/przedszkola... 41 3

Spis treści 7.3. Zwolnienie z obowiązku rejestracji zbioru danych uczniów/wychowanków... 42 7.4. Zwolnienie z obowiązku rejestracji zbioru danych rodziców uczniów... 43 7.5. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej... 43 7.6. Zwolnienie z obowiązku rejestracji zbioru danych powszechnie dostępnych... 44 7.7. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego... 44 7.8. Zwolnienie z obowiązku rejestracji zbioru danych, jeżeli został powołany i zgłoszony ABI... 45 7.9. Zwolnienie z obowiązku rejestracji zbioru danych prowadzonych bez wykorzystania systemów informatycznych... 45 7.10. Procedura rejestrowania zbiorów danych osobowych w GIODO... 46 7.11. Elementy zgłoszenia zbioru danych do rejestracji GIODO... 47 8. Administrator danych osobowych (ADO)... 49 8.1. Dyrektor jako administrator danych osobowych... 49 8.2. Administrator danych osobowych a jednostki obsługi ekonomiczno-administracyjnej... 49 8.3. Administrator danych osobowych a umowa na przetwarzanie danych... 50 8.4. Obowiązki administratora danych osobowych... 50 8.5. Obowiązki informacyjne... 51 9. Administrator bezpieczeństwa informacji (ABI)... 52 9.1 Możliwość powołania ABI... 52 9.2. Rejestrowanie ABI... 53 9.3. Kwalifikacje ABI... 54 9.4. Zadania ABI... 54 9.5. Sprawdzanie przestrzegania przepisów... 55 9.6. Nadzorowanie dokumentacji... 56 9.7. Szkolenia dla pracowników... 56 9.8. Prowadzenie rejestru zbioru danych przez ABI... 56 9.9. Zasady prowadzenia rejestru zbioru danych... 57 10. Środki zapewniające ochronę przetwarzanych danych osobowych... 59 11. Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych... 60 11.1. Rodzaje odpowiedzialności związanej z przetwarzaniem danych osobowych... 60 11.2. Odpowiedzialność karna za naruszenie ustawy o ochronie danych osobowych... 61 11.3. Bezprawne przetwarzanie danych osobowych w zbiorze... 62 11.4. Udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym... 63 11.5. Naruszenie obowiązku zabezpieczenia danych... 64 11.6. Naruszenie obowiązku rejestracji zbiorów danych w GIODO... 66 4

Spis treści 11.7. Niedopełnienie obowiązku informacyjnego przez administrującego danymi osobowymi... 66 11.8. Udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej... 67 12. Zasady kontroli przetwarzania danych osobowych przez GIODO... 68 12.1. Kontrola GIODO... 68 12.2. Zadania GIODO... 68 12.3. Uprawnienia kontrolne GIODO... 70 12.4. Uprawnienia inspektora... 71 12.5. Obowiązki inspektora... 72 12.6. Obowiązki kontrolowanego... 72 12.7. Legitymacja i upoważnienie... 72 12.8. Termin i czas kontroli... 73 12.9. Miejsce kontroli... 73 12.10. Dokumentowanie czynności kontrolnych... 73 12.11. Uprawnienia pokontrolne... 73 13. Wyniki kontroli GIODO w szkołach i placówkach... 76 13.1. Udostępnianie danych osobowych nauczycieli i rodziców... 76 13.2. Udostępnianie danych osobowych uczniów... 76 13.3. Zakres danych przetwarzanych przez szkoły i placówki... 77 CZĘŚĆ II SZCZEGÓLNE PRZYPADKI OCHRONY DANYCH OSOBOWYCH... 79 14. Ochrona danych osobowych a system informacji oświatowej... 81 15. Ochrona danych osobowych a e-dziennik... 83 16. Ochrona danych osobowych a dostęp do informacji publicznej... 84 17. Ochrona danych osobowych a ochrona informacji niejawnych... 87 18. Ochrona danych osobowych a jawność wynagrodzeń pracowników... 87 18.1. Podstawa prawna ochrony informacji o wynagrodzeniu pracownika... 87 18.2. Informacja o wynagrodzeniu jako dana osobowa... 87 18.3. Niejawność informacji o wynagrodzeniu... 88 18.4. Ujawnianie informacji o wynagrodzeniu osób pełniących funkcje publiczne... 88 18.5. Udostępnianie informacji o wynagrodzeniu w orzecznictwie... 89 18.6. Informacja o wynagrodzeniu osób niepełniących funkcji publicznych... 89 19. Ochrona danych osobowych a strona internetowa placówki oświatowej... 90 19.1. Udostępnianie danych osobowych w Internecie... 90 19.2. Publikowanie danych osobowych za zgodą... 91 19.3. Publikowanie danych osobowych bez zgody... 92 19.4. Publikowanie zdjęć (rozpowszechnianie wizerunku)... 93 20. Kontakty z mediami a ochrona danych osobowych... 95 21. Monitoring wizyjny a ochrona danych osobowych... 96 21.1. Miejsca objęte monitoringiem... 96 21.2. Przechowywanie i udostępnianie nagrań z monitoringu szkolnego... 96 21.3. Monitorowanie pracowników... 97 5

Spis treści 6 22. Wyłudzanie danych osobowych uczniów i rodziców... 98 22.1. Działalność firm komercyjnych w szkole... 98 22.2. Zgoda rodziców na gromadzenie danych osobowych uczniów... 98 23. Ochrona danych osobowych a noszenie identyfikatora z imieniem i nazwiskiem... 99 24. Ochrona danych osobowych a procedura weryfikowania danych osobowych kredytobiorców... 100 25. Ochrona danych osobowych a upoważnienia do odbioru dzieci przez osobę inną niż rodzice... 100 26. Ochrona danych osobowych a udzielanie informacji o dziecku innym osobom niż rodzic... 100 27. Ochrona danych osobowych a uchwały rady pedagogicznej... 101 28. Ochrona danych osobowych a działalność pielęgniarki szkolnej... 102 29. Ochrona danych osobowych byłego pracownika... 103 30. Ochrona danych osobowych a wgląd do dokumentacji szkolnej... 104 31. Ochrona danych osobowych a profil szkoły na Facebooku... 105 32. Ochrona danych osobowych a filmowanie lekcji... 106 33. Ochrona danych osobowych a nagrywanie rozmów... 107 34. Ochrona danych osobowych a udostępnienie arkusza organizacyjnego szkoły związkom zawodowym... 108 35. Ochrona danych osobowych a zakładowy fundusz świadczeń socjalnych... 109 36. Ochrona danych osobowych a dane umieszczane w protokole powypadkowym... 110 37. Ochrona danych osobowych a ich udostępnianie księżom w parafii... 111 38. Ochrona danych osobowych a wywiadówki szkolne... 112 39. Ochrona danych osobowych a dziennik lekcyjny... 113 40. Ochrona danych osobowych a przekazywanie danych e-mailem... 114 41. Ochrona danych osobowych a dziennik nauczania indywidualnego... 115 42. Ochrona danych osobowych a dokumentacja poradni psychologiczno-pedagogicznej... 115 43. Ochrona danych osobowych a ankiety szkolne... 116 44. Ochrona danych osobowych a NNW na wycieczkach... 117 45. Ochrona danych osobowych a zbiory danych praktykantów i wolontariuszy... 119 46. Ochrona danych osobowych a skarga na szkołę... 119 CZĘŚĆ III DOKUMENTACJA... 121 47. Zgoda na przetwarzanie danych osobowych (1)... 123 48. Zgoda na przetwarzanie danych osobowych (2)... 124 49. Zgoda na przetwarzanie danych osobowych (3)... 125 50. Cofnięcie zgody na przetwarzanie danych osobowych... 126 51. Umowa powierzenia przetwarzania danych osobowych... 127 52. Zarządzenie dyrektora w sprawie dokumentacji przetwarzania danych osobowych... 131 53. Oświadczenie zbiorcze pracowników w sprawie ochrony danych osobowych.. 132

Spis treści 54. Polityka bezpieczeństwa... 133 55. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych... 146 56. Indywidualny zakres obowiązków nałożonych na użytkownika systemu informatycznego przetwarzającego dane osobowe... 157 57. Upoważnienie do przetwarzania danych osobowych (1)... 158 58. Upoważnienie do przetwarzania danych osobowych (2)... 159 58. Upoważnienie do przetwarzania danych osobowych (3)... 160 59. Procedura nadawania i zmiany uprawnień do przetwarzania danych osobowych... 161 60. Ewidencja osób upoważnionych do przetwarzania danych osobowych... 162 61. Zgłoszenie zbioru danych do rejestracji GIODO... 163 62. Informacja o przetwarzaniu danych osobowych dla rodziców i opiekunów dzieci/pracowników/stażystów/praktykantów... 169 63. Akt powołania administratora bezpieczeństwa informacji... 170 64. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji GIODO... 171 65. Zgłoszenie odwołania administratora bezpieczeństwa informacji do rejestracji GIODO... 174 66. Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych... 176 67. Procedury wykonywania przeglądów i konserwacji systemu informatycznego... 179 68. Formy naruszenia ochrony danych osobowych... 180 69. Podstawowa lista kontrolna przestrzegania ochrony danych osobowych... 183 70. Raport z naruszenia zabezpieczenia danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych... 184 71. Zgoda na wykorzystanie wizerunku dziecka... 186 72. Zgoda na wykorzystanie wizerunku nauczyciela/pracownika... 186 73. Wniosek do dyrektora o zgodę na przetwarzanie danych osobowych uczestników wycieczki poza teren szkoły... 187 74. Zgoda na przetwarzanie danych osobowych uczestników wycieczki szkolnej poza teren szkoły... 187 CZĘŚĆ IV AKTY PRAWNE... 189 75. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.)... 191 76. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024)... 214 77. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. z 2014 r. poz. 1934)... 220 7

78. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745)... 221 79. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719)... 225 80. Art. 81 ustawy o prawie autorskim i prawach pokrewnych... 227

CZĘŚĆ I OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH

1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. Funkcje opiekuńczo-wychowawczo-dydaktyczne to niejedyne zadania jednostek oświatowych. Działalność każdego przedszkola, szkoły i placówki podlega także przepisom ustawy z 9 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) dalej: uodo. W rozumieniu art. 7 pkt 4 uodo są one administratorami danych osobowych, zaś za prawidłowe stosowanie i przestrzeganie obowiązujących regulacji odpowiada dyrektor decydujący o celach i środkach przetwarzania danych osobowych. W ramach tych obowiązków dyrektor jest przede wszystkim zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Musi zapewnić też opracowanie dokumentów polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym oraz ich przestrzeganie, a także zgłosić do Generalnego Inspektora Ochrony Danych Osobowych niektóre zbiory danych przetwarzane w jego jednostce. Dyrektor i pracownicy powinni też wiedzieć, które dane osobowe placówka może gromadzić wprost na podstawie przepisów ustawy, a które może pozyskiwać i przetwarzać tylko za zgodą. Vademecum omawia zakres danych osobowych, które jednostka może pozyskiwać, oraz zasady ich ochrony w kontekście najnowszych zmian. Od 1 stycznia 2015 r. obowiązują znowelizowane przepisy ustawy o ochronie danych osobowych, wprowadzone ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662). Zmiany dotyczą: statusu administratora bezpieczeństwa informacji (ABI), jego pozycji, kompetencji i obszarów działania, obowiązków administratora danych osobowych (ADO), polegających na zgłaszaniu do rejestracji zbiorów danych oraz wyznaczonego ABI, kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO). 11

Przewodnik po ochronie danych osobowych Tabela 1. Wykaz zmian w ustawie o ochronie danych osobowych wprowadzonych od 1 stycznia 2015 r. Powołanie ABI w szkole Skreślony został art. 36 ust. 3 uodo, a w jego miejsce pojawiły się art. od 36a do 36c, które w sposób kompleksowy normują pozycję i kompetencje administratora bezpieczeństwa informacji. ABI może powołać administrator danych (art. 36a ust. 1 uodo). Ma on prawo powołać również zastępców ABI. Wyznaczenie ABI nie jest obowiązkowe jeśli w szkole takiej osoby nie będzie, zadania określone w art. 36a ust. 2 pkt 1 uodo, czyli związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, z wyłączeniem obowiązku sporządzania sprawozdania, wykonywać ma administrator danych (art. 36b uodo). Dyrektor powinien zdecydować, czy powołać ABI, czy też samodzielnie zapewniać przestrzeganie zasad ochrony danych osobowych. Kwalifikacje ABI Zadania ABI Nowości przy rejestracji zbiorów danych W dotychczasowych przepisach nie było postanowień określających status administratora bezpieczeństwa informacji. Po nowelizacji określa je art. 36a uodo. Ma to być osoba m.in. posiadająca wiedzę w zakresie ochrony danych osobowych, czyli odpowiednio przygotowana i dająca rękojmię należytego wykonywania funkcji. Dotychczas funkcję ABI często powierzano osobie, która pełniła już inne obowiązki, np. zastępcy dyrektora szkoły, sekretarce czy nauczycielowi informatyki. Zapewnienie środków i organizacyjnej odrębności ABI, niezbędnych do niezależnego wykonywania przez niego zadań, jest obowiązkiem administratora danych. Zgodnie z art. 36a ust. 2 pkt 1 uodo do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ich ochronie oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo, oraz przestrzegania zasad w niej określonych, zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Nowym obowiązkiem administratora bezpieczeństwa informacji jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 uodo, czyli zwolnionych z obowiązku zgłoszenia do rejestracji. Rejestr zbiorów prowadzonych przez ABI ma zawierać: nazwy zbiorów oraz informacje, o których mowa w art. 41 ust. 1 pkt 2 4a i 7 uodo, a więc zwykle charakteryzujące zbiór przy rejestracji, zawarte w zgłoszeniu zbioru do rejestracji. Rejestr ten jest jawny i każdy ma prawo go przeglądać. Tryb i sposób realizacji zadań ABI oraz sposób prowadzenia przez niego rejestru zbiorów danych regulowany jest rozporządzeniem. Podstawową nowością w zakresie rejestracji zbiorów jest niezgłaszanie GIODO tych zbiorów administratora danych, które zarejestrowane są lokalnie przez ABI. Ponieważ jednak z art. 43 ust. 1a uodo wynika, że obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go GIODO do rejestracji (z zastrzeżeniem art. 46e ust. 2 uodo), niezgłaszanie zbiorów jest ograniczone, bo: zwolnienie z rejestracji GIODO dotyczy tylko przypadków prowadzenia rejestru przez zarejestrowanego ABI, jeśli w zbiorach przetwarzane są dane wrażliwe, to zarejestrowanie u ABI nie wystarczy, bo i tak trzeba wypełnić obowiązek zgłoszenia GIODO, 12

Część I Ogólne zasady ochrony danych osobowych Nowości przy rejestracji zbiorów danych Rejestr ABI Rozszerzenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w przypadku ABI ponownie zgłoszonego (po uprzednim wykreśleniu) do rejestru administratorów bezpieczeństwa informacji zwolnienie z obowiązku rejestracji stosuje się dopiero po wpisaniu zgłoszonego ABI do tego rejestru. Powołanie w szkole ABI wiąże się z koniecznością zgłoszenia tej osoby do rejestracji. Zgodnie z przepisami ustawy o ochronie danych osobowych GIODO ma prowadzić ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, do którego dyrektorzy szkół będą zgłaszać wyznaczonych przez siebie ABI. Wzory zgłoszeń powołania i odwołania zostały określone w rozporządzeniu. Na podstawie art. 46b uodo administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie lub odwołanie administratora bezpieczeństwa informacji w terminie 30 dni. Ustawa określa również zakres zgłaszanych informacji. Zgłoszenie powołania ABI do rejestracji powinno zawierać: oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; dane administratora bezpieczeństwa informacji: imię i nazwisko, numer PESEL lub gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; datę powołania; oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7. Zgłoszenie odwołania natomiast powinno ponadto zawierać datę i przyczynę odwołania. Administrator danych jest także zobowiązany w terminie 14 dni zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa w art. 46b ust. 2 uodo. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania ABI. Na żądanie ABI lub administratora danych GIODO wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. Do celów dokumentacyjnych i dowodowych rekomenduje wystąpienie do GIODO o wydanie tego zaświadczenia. Znowelizowana ustawa o ochronie danych osobowych określa także zasady wykreślania ABI z rejestru. Warto przy tym pamiętać, że po wykreśleniu konieczne będzie zgłoszenie do rejestracji GIODO tych zbiorów, które dotychczas korzystały ze zwolnienia wynikającego z funkcjonowania w szkole administratora bezpieczeństwa informacji. Administrator bezpieczeństwa informacji co najmniej raz w roku powinien przeprowadzić sprawdzenie zgodności przetwarzania danych osobowych w jednostce z przepisami. Z tego narzędzia korzystać ma przede wszystkim administrator danych ma mu ono służyć do uzyskania wiedzy o stanie ochrony danych osobowych w placówce. Z instytucji tej jednak skorzysta też GIODO, dla którego sprawdzenie prowadzone przez ABI może być wsparciem w działalności kontrolnej. Poprzez ten instrument GIODO zyskuje bowiem kontakt z podmiotem (ABI), który z uwagi na swą niezależność i profesjonalizm zapewnia wysoki poziom współpracy. W art. 36c uodo określono elementy sprawozdania opracowanego w wyniku sprawdzenia. Zgodnie z dodanym do ustawy o ochronie danych osobowych art. 19b GIODO może zwrócić się do ABI o sprawdzenie u administratora danych, który go 13

Przewodnik po ochronie danych osobowych Rozszerzenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO) powołał, zgodności przetwarzania danych osobowych z przepisami, wskazując jego zakres i termin. Po dokonaniu tego sprawdzenia ABI za pośrednictwem administratora danych, czyli w szkole/przedszkolu za pośrednictwem jej dyrektora przedstawia GIODO sprawozdanie, takie jakie zwykle sporządzać ma dla administratora danych. Sprawdzenie to ma mieć m.in. charakter prewencyjny i w efekcie ma oddalać ewentualną kontrolę w danej placówce przez GIODO. Ustawa przewiduje jednak, że przeprowadzenie sprawdzenia przez ABI na żądanie GIODO nie wyklucza prawa Generalnego Inspektora do przeprowadzenia kontroli. Nowe uregulowania będą miały wpływ na kształt systemu ochrony danych osobowych u każdego administratora danych, dotyczą więc również placówek oświatowych zobowiązanych do stosowania przepisów ustawy o ochronie danych osobowych. Nowelizacja może oznaczać konieczność zmian w dotychczasowej dokumentacji. Bez względu na to, czy dyrektor zdecyduje się powołać ABI, czy też nie, zasadna jest analiza prowadzonej dokumentacji techniczno-organizacyjnej, czyli Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Należy albo wprowadzić do nich postanowienia o powołaniu administratora bezpieczeństwa informacji i jego kompetencjach, albo zaznaczyć, że administrator danych nie powołuje ABI i samodzielnie zapewnia przestrzeganie przepisów o ochronie danych osobowych. Jeśli dyrektor szkoły zdecyduje się powołać ABI, powinien ten fakt udokumentować. Wyznaczenie administratora bezpieczeństwa informacji może nastąpić zarówno w drodze zarządzenia, jak i poprzez omówione już wprowadzenie w Polityce bezpieczeństwa odpowiednich postanowień, z których wynikać będzie, że osoba zajmująca dane stanowisko pełni tę funkcję. W związku z działalnością ABI w szkole pojawią się sprawozdania dokumentujące sprawdzanie przez niego zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto nowymi dokumentami będą kopie zgłoszeń powołania bądź odwołania ABI czy kopie zaświadczeń o zarejestrowaniu, wynikające z obowiązku zarejestrowania administratora bezpieczeństwa informacji u GIODO. Przetwarzanie danych osobowych w placówce oświatowej, niezależnie czy jest to placówka publiczna, czy niepubliczna, jest jednym z podstawowych procesów w niej zachodzących. Zebrane informacje, zarówno te dotyczące uczniów, wychowanków, jak i ich rodziców, stanowią fundament jej funkcjonowania. Ponadto stale rosnąca wśród społeczeństwa świadomość ochrony danych osobowych jest sygnałem dla podmiotów przetwarzających dane do szczególnego zwrócenia uwagi na tę kwestię. Dlatego też tak ważne jest to, aby proces ten był legalny, dostęp do danych mieli jedynie upoważnieni pracownicy, a wszystkie zebrane dane zostały należycie zabezpieczone. Obecnie obowiązujące przepisy zapewniają, w większości przypadków, skuteczną ochronę danych. Oczywiście zdarza się, że dyrektorzy czy nauczyciele nie znajdują odpowiedzi na nurtujące ich pytania w obowiązujących przepisach prawa. Dlatego materiał ten ma za zadanie usystematyzować kwestie związane z przetwarzaniem danych osobowych dzieci, wychowanków, ich rodziców, nauczycieli i pracowników niepedago- 14

Część I Ogólne zasady ochrony danych osobowych gicznych. Przejrzysta formuła ułatwi zaś zobrazowanie przepisów prawa obowiązujących w tym zakresie. Publikacja pozwoli: zaktualizować wiedzę dotyczącą danych osobowych i obowiązków spoczywających na dyrektorze w tym zakresie, poznać zakres zmian obowiązujących od 1 stycznia 2015 r. i sposób dostosowania dotychczasowych dokumentów, ustalić, czy każda placówka będzie musiała powołać administratora bezpieczeństwa informacji (ABI), a jeżeli tak, to jakie wymagania musi spełniać osoba sprawująca tę funkcję, poznać najczęściej popełnianie błędy, żeby wyeliminować je w swojej placówce. 2. Regulacje prawne dotyczące ochrony danych osobowych Zasada ochrony danych osobowych znajduje swoje źródło w ustawie zasadniczej w Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (Dz.U. z 1997 r. nr 78, poz. 483 ze zm.). W art. 47 i art. 51 gwarantuje ona każdemu prawo do ochrony życia prywatnego i zakłada, że zasady gromadzenia oraz udostępniania informacji o osobie określać ma akt prawny rangi ustawy. Założenie to zostało zrealizowane poprzez wydanie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.). Ustawa określa m.in., w jakich sytuacjach i jakie dane osobowe mogą podlegać przetwarzaniu, precyzuje wymogi stawiane administratorom danych, a także określa prawne konsekwencje naruszenia postanowień w niej zawartych. Zobacz treść ustawy na płycie CD Zakres podmiotów podlegających regulacjom ustawy o ochronie danych osobowych uodo został wskazany w art. 3 uodo. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Znajduje ona także zastosowanie do podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Oznacza to, że przepisy uodo będą stosowane także w działalności szkół oraz jednostek, które przetwarzają dane osobowe w ramach działalności na polu oświaty (np. organów prowadzących). Treść ustawy o ochronie danych osobowych została rozszerzona przez ustawodawcę o rozporządzenia wykonawcze. Na uwagę zasługuje kilka z nich: rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków tech- 15

Przewodnik po ochronie danych osobowych nicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) definiuje obszar przetwarzania i potrzebę oznaczania pomieszczeń, w których przetwarzane są dane osobowe, oraz określa trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych, zapewniające zachowanie poufności, integralności i rozliczalności danych; rozporządzenie ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. z 2008 r. nr 229, poz. 1536); rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934); rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) określa tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie; nadzorowania opracowania, aktualizowania przestrzegania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych; rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719). Trzy ostanie rozporządzenia związane są z nowelizacją ustawy obowiązującą od 1 stycznia 2015 r. Zobacz treść rozporządzeń na płycie CD Kwestie dotyczące ochrony danych osobowych normowane są także w innych aktach prawnych. O ile ustawa o ochronie danych osobowych w sposób ogólny normuje ochronę danych osobowych o tyle inne odnoszą się szczegółowo do kwestii tej ochrony w wybranych konkretnych dziedzinach działalności (np. art. 81 ustawy o prawie autorskim i prawach pokrewnych odnosi się do ochrony wizerunku). Wskazać przy tym trzeba, że placówki oświatowe objęte są zakresem działania ustawy o ochronie danych osobowych nie tylko jako podmioty realizujące określone zadania publiczne w zakresie oświaty, ale też jako pracodawcy. Zobacz treść art. 81 ustawy na płycie CD 16

3. Dane osobowe Część I Ogólne zasady ochrony danych osobowych Schemat 1. Rodzaje danych osobowych DANE OSOBOWE DANE OSOBOWE ZWYKŁE DANE OSOBOWE WRAŻLIWE 3.1. Dane osobowe zwykłe Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne) art. 6 uodo. Danymi osobowymi są wszelkie informacje dotyczące osoby fizycznej, tj. informacje odnoszące się do wszystkich dziedzin jej życia (rodzinnego, zawodowego, aktywności pozazawodowej, stanu majątkowego itd.). Przepisy nie precyzują formy tych informacji, a zatem chodzi o dane wyrażone w jakiejkolwiek formie, tj. np. na piśmie, w nagraniu filmowym bądź dźwiękowym, na obrazie, w formie zapisu informatycznego. Forma, w której informacje o osobie zostały zawarte, nie ma znaczenia dla zakwalifikowania ich jako danych osobowych. Podstawowy warunek uznania informacji za dane osobowe jest taki, że ma ona zawierać w sobie wiedzę dotyczącą osoby fizycznej: już zidentyfikowanej, czyli konkretnej osoby o oznaczonej tożsamości, możliwej do zidentyfikowania, czyli tej, której tożsamość można ustalić (bezpośrednio lub pośrednio) w zestawieniu z innymi informacjami, dodatkowymi okolicznościami (wiedzą). Pojęcie danych osobowych dobrze zostało wyjaśnione przez Naczelny Sąd Administracyjny (wyrok NSA z 18 listopada 2009 r., OSK 667/09): Dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże do tego się nie ogranicza, bo mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Do informacji takich z pewnością należą zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację ( ). O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst), do jakich dostęp mają osoby trzecie. 17

Przewodnik po ochronie danych osobowych uwaga Jeżeli ustalenie tożsamości osoby na podstawie określonych informacji wymagałoby nadmiernych kosztów, czasu lub działań, to nie uważa się ich za dane osobowe. Danymi osobowymi będą zatem zarówno te informacje, które pozwalają na określenie tożsamości konkretnej osoby, jak i te, które nie umożliwiają jej natychmiastowej identyfikacji, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Danymi osobowymi będzie więc ta informacja, która pozwala na ustalenie tożsamości konkretnej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Nie będzie nimi zatem ta informacja, na podstawie której identyfikacja osoby wymaga nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań. Danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy, numer domu czy wysokość średniego wynagrodzenia w szkole. Nie zaliczymy do nich też informacji, które dotyczą osób prawnych, tj. urzędów, z którymi szkoła współpracuje, spółdzielni, od których placówka wynajmuje lokal, czy firm. Informacja będzie jednak danymi osobowymi, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji, którą można uznać za dane osobowe, jest numer PESEL, a jego przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych. Są nimi również imię i nazwisko, adres zamieszkania, data urodzenia, NIP, wykształcenie, zarobki oraz inne informacje dotyczące konkretnej osoby, za pomocą których będzie można ją zidentyfikować. Nie ma zamkniętego katalogu danych osobowych. Dlatego też przy rozstrzyganiu, czy określona informacja lub informacje to dane osobowe, w większości przypadków, nieunikniona jest zindywidualizowana ocena uwzględniająca konkretne okoliczności oraz rodzaj środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby. Dane osobowe odnoszą się wyłącznie do osób fizycznych, a ich ochrona przysługuje bez wyjątku każdemu, w tym również uczniom, dzieciom (wychowankom przedszkola). Ramka 1. Wykaz danych osobowych Za dane osobowe uczniów, wychowanków, rodziców, nauczycieli lub innych pracowników możemy uznać m.in.: imię i nazwisko, wizerunek, numer telefonu, adres e-mail, adres zamieszkania, filmy i zdjęcia z monitoringu jeśli możliwe jest przypisanie utrwalonych na taśmach (zdjęciach) wizerunków do konkretnych osób (np. dzieci, pracowników danej szkoły). 18

Część I Ogólne zasady ochrony danych osobowych 3.2. Dane osobowe wrażliwe Pojęcie danych osobowych nie ma jednorodnego charakteru. Wyróżniono bowiem dane o szczególnym charakterze, tzw. dane wrażliwe (delikatne, sensytywne), przeciwstawiane niekiedy tzw. danym zwykłym (pospolitym). W odniesieniu do danych wrażliwych wprowadzono bardziej intensywną ochronę, a ich przetwarzanie podlega odrębnym zasadom (art. 27 uodo). Ramka 2. Wykaz danych osobowych wrażliwych Za dane wrażliwe ustawa uznaje dane dotyczące: pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych (odnosi się to także do postawy ateistycznej lub agnostycznej, kategoria ta nie obejmuje natomiast zasad moralnych), przynależności wyznaniowej, partyjnej lub związkowej (także fakt nieprzynależności do organizacji i wystąpienia z niej), stanu zdrowia, kodu genetycznego, nałogów (w tym poddania się leczeniu odwykowemu lub przerwania go, uczestniczenia w grupach i organizacjach stawiających sobie za cel walkę z uzależnieniami), życia seksualnego, skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 4. Przetwarzanie danych osobowych 4.1. Definicja przetwarzania danych osobowych Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 uodo). Przykład Przetwarzaniem danych będzie zbieranie danych osobowych dzieci podczas procesu rekrutacji do przedszkola/szkoły, zapisywanie ich w dziennikach lekcyjnych, wprowadzanie do Systemu Informacji Oświatowej, umieszczanie informacji o laureatach konkursów na szkolnej stronie internetowej itp. 19

Przewodnik po ochronie danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które posiadają upoważnienie nadane przez administratora danych. Konieczna jest kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane. Musi być też prowadzona ewidencja osób upoważnionych do przesyłania danych. Istnieje wreszcie obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczania. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Udzielone upoważnienia do przetwarzania danych są odnotowane w ewidencji osób upoważnionych do ich przetwarzania, którą dyrektor szkoły również musi prowadzić. Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 4.2. Dopuszczalność przetwarzania Pod kątem podstawy przetwarzania należy rozpatrywać każdy konkretny zakres danych. Podstawę przetwarzania należy rozpatrywać zawsze w związaniu z celem przetwarzania. Administrator danych musi umieć wykazać się podstawą prawną przetwarzania danych (ciężar dowodu). Dane jednej osoby mogą być przetwarzane na różnych podstawach prawnych. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 uodo). W szczególności jest obowiązany zapewnić, aby były spełnione następujące przesłanki przetwarzania: legalności przetwarzane zgodnie z prawem (art. 23 lub 27 uodo), celowości przetwarzanie tylko w określonym, legalnym celu, czasowości przetwarzanie tylko do momentu osiągnięcia celu, merytorycznej poprawności w stosunku do celów, w jakich są przetwarzane, adekwatności przetwarzania tylko takiego zakresu danych, który jest niezbędny do osiągnięcia celu. 4.3. Przesłanki legalności przetwarzania danych Każdego rodzaju operacje dokonywane na danych osobowych, jak na przykład ich gromadzenie, przechowywanie, zmienianie czy nawet usuwanie, będące faktycznie ich przetwarzaniem, należy uzasadnić spełnieniem jednego z warunków zawartych w art. 23 uodo. 20

Część I Ogólne zasady ochrony danych osobowych Istnieje pięć przesłanek przetwarzania danych osobowych: zgoda danej osoby na wykorzystanie jej danych (w przypadku dzieci zgoda rodziców), realizacja obowiązków wynikających z przepisów prawa, realizacja umowy, działanie dla dobra publicznego, realizacja prawnie usprawiedliwionego celu administratora danych. Wzór: Zgoda na przetwarzanie danych osobowych (różne wersje) strony 123, 124, 125. Wzór: Cofnięcie zgody na przetwarzanie danych osobowych strona 126. Przetwarzanie danych osobowych wrażliwych jest możliwe, jeżeli zostaną spełnione wszystkie przesłanki z art. 27 ust. 2 uodo: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych. Przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony. Przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora. Jest to niezbędne do wykonania statutowych zadań Kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych. Przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem. Przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie. Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. Przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. Jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może umożliwiać identyfikacji osób, których dane zostały przetworzone. 21

Przewodnik po ochronie danych osobowych Przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. Wymienione w art. 23 ust. 1 uodo przesłanki dopuszczalności przetwarzania danych osobowych są od siebie niezależne, co oznacza, że wystąpienie tylko jednej z nich przesądza o dopuszczalności przetwarzania danych osobowych. Dopuszczalność przetwarzania danych osobowych nie zawsze jest więc uzależniona od uzyskania na to zgody osoby, której dane mogą być przetwarzane. Artykuł 23 ust. 1 uodo, poza zgodą osoby, której dane dotyczą, wskazuje również inne okoliczności, które dopuszczają przetwarzanie danych osobowych. Jeśli nie zachodzi żadna z przesłanek wymienionych w art. 23 ust. 1 pkt 2 5 uodo, to przetwarzanie danych osobowych jest dopuszczalne po uzyskaniu na to zgody osoby, której dane dotyczą. 4.4. Katalog danych osobowych przetwarzanych przez placówki oświatowe Schemat 2. Katalog danych osobowych przetwarzanych w placówce oświatowej Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie Katalog danych osobowych przetwarzanych w placówce oświatowej Dane osobowe przetwarzane w związku ze stosunkiem pracy (nauczycieli i pracowników niebędących nauczycielami), w tym również dane gromadzone w związku z korzystaniem z zakładowego funduszu świadczeń socjalnych Dane osobowe przetwarzane na podstawie ustawy o systemie oświaty oraz aktów wykonawczych wydanych na jej podstawie Dane osobowe umieszczane na stronach internetowych szkoły/przedszkola Dane osobowe zawarte na filmach z kamer umieszczonych w szkole/przedszkolu (monitoring) 22

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres