1. Regulacje prawne dotyczące ochrony danych osobowych



Podobne dokumenty
Rozdział I. Regulacje prawne dotyczące ochrony danych osobowych

Ochrona danych osobowych w jednostkach oświaty. Adam Balicki

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

Bezpieczeństwo danych osobowych listopada 2011 r.

PolGuard Consulting Sp.z o.o. 1

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

REJESTR ZBIORÓW. Administrator Danych Jan Drajewicz. Dnia r. w podmiocie o nazwie Zespół Szkół nr 2 w Dukli. z dnia 11 maja 2015 r.

POLITYKA BEZPIECZEŃSTWA

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO WŁASNOŚCIOWEJ W PLESZEWIE

Ochrona wrażliwych danych osobowych

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Szkolenie. Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Polityka bezpieczeństwa danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Monitoring wizyjny a ochrona danych osobowych

Zespół Kształcenia i Wychowania w Kamienicy Szlacheckiej REJESTR ZBIORÓW. Administrator Danych Bernadeta kucyk - dyrektor

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Ochrona danych osobowych przy obrocie wierzytelnościami

POLITYKA BEZPIECZEŃSTWA

Ochrona danych osobowych w działalności deweloperskiej. Szymon Karpierz Kraków 8 marca 2012 roku

Ustawa o ochronie danych osobowych po zmianach

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

REJESTR ZBIORÓW. z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka ochrony prywatności

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH, ZWANA DALEJ UMOWĄ (ZAŁĄCZNIK NR 3 DO UMOWY ZP ) . NIP:..., reprezentowanym przez:

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

REJESTR ZBIORÓW. Dnia r. w podmiocie o nazwie. Zespół Szkolno Przedszkolny Nr 1 im. Jana Pawła II w Wieprzu. z dnia 11 maja 2015 r.

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA

Polityki bezpieczeństwa danych osobowych w UMCS

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

POLITYKA BEZPIECZEŃSTWA

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Zmiany w ustawie o ochronie danych osobowych

Zarządzenie nr 101/2011

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Szkoła Podstawowa nr 2

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

USTAWA z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1)

Ustawa. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

ZASADY OCHRONY DANYCH OSOBOWYCH W STOWARZYSZENIU PO PIERWSZE RODZINA

Przetwarzanie danych w chmurze Cloud Computing

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH w Gdańskiej Spółdzielni Mieszkaniowej

SPRAWOZDANIE KOMISJI SPRAWIEDLIWOŚCI I PRAW CZŁOWIEKA

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

Zarządzenie nr.~ ~2015

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

5. Kupujący ma w każdej chwili możliwość wglądu, poprawiania, aktualizacji oraz usuwania danych osobowych przechowywanych przez Sprzedawcę.

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

ZASADY DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH. 1. Definicje

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. Departament Inspekcji

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

Umowa nr..- /16. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:... z siedzibą przy...

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Spółdzielni Mieszkaniowej KISIELIN w Zielonej Górze

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W KSIĄŻKACH

Polityka ochrony prywatności Firmy ADAMS Sp. z o.o. Ostatnia data aktualizacji: 27 lutego 2018 r.

OCHRONA DANYCH OSOBOWYCH

Transkrypt:

1. Regulacje prawne dotyczące ochrony danych osobowych 1.1. Podstawowe akty prawne regulujące ochronę danych osobowych w szkole i placówce oświatowej Podstawowym aktem prawnym regulujących ochronę danych osobowych jest ustawa z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm., dalej OchrDanU). Przywołana ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są przetwarzane lub mogą być przetwarzane w zbiorze danych. Przepisy ustawy stosuje się do przetwarzania danych osobowych w: 1) kartotekach, 2) skorowidzach, 3) księgach, 4) wykazach, 5) zbiorach ewidencyjnych (różnego rodzaju), 6) systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem. OchrDanU znajduje zastosowanie w przypadku organów państwowych, organów samorządu terytorialnego oraz państwowych i komunalnych jednostek organizacyjnych. Zgodnie z decyzją Głównego Inspektora Ochrony Danych Osobowych (dalej GIODO) z 1999 r. jednostki komunalne wykonujące w imieniu gminy zadania, które mają na celu zaspokajanie potrzeb społeczności lokalnej, stają się administratorami 1

1. Regulacje prawne dotyczące ochrony danych osobowych danych osobowych zgodnie z OchrDanU. Takimi podmiotami są szkoły i inne jednostki działające w systemie oświaty. Przepis art. 3a OchrDanU wyłącza stosowanie przepisów ustawy w stosunku do: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, 2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Polski wyłącznie do przekazywania danych. Również w przypadku, gdy przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę niż wynika to z OchrDanU zastosowanie będą miały właśnie te przepisy. OchrDanU ma ograniczone zastosowanie w przypadku zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub związanych z edukacją w szkołach wyższych. Dane takie, po ich wykorzystaniu, są niezwłocznie usuwane lub poddawane anonimizacji. W praktyce szkolnej będą to wszelkie listy wpłat uczestników wycieczek itp., prowadzone przez wychowawcę klasy poza obowiązkową dokumentacją szkolną. W stosunku do takich zbiorów danych stosuje się przepisy ustawy dotyczące ich zabezpieczania. Obok przepisów OchrDanU omawianą problematykę regulują akty wykonawcze do tej ustawy: 1) rozporządzenie Prezydenta Rzeczypospolitej Polskiej z 10.10.2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2011 r. Nr 225, poz. 1350), 2) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. z 2008 r. Nr 229, poz. 1536), 3) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), 4) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 22.4.2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. z 2004 r. Nr 94, poz. 923). Rozporządzenie MSWiA z 11.12.2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych określa 2

1.2. Podstawowe pojęcia związane z ochroną danych osobowych wzór zgłoszenia zbioru danych do rejestracji GIODO, który stanowi załącznik do rozporządzenia. Natomiast rozporządzenie MSWiA z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określa: 1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, 2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa ich przetwarzania. Przepisy tego rozporządzenia nakładają na szkoły i placówki oświatowe obowiązek opracowania dwóch dokumentów: 1) polityki bezpieczeństwa danych osobowych, 2) instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 1.2. Podstawowe pojęcia związane z ochroną danych osobowych OchrDanU definiuje najważniejsze pojęcia związane z ochroną danych osobowych. Definicje te muszą być stosowane w zakresie ochrony danych osobowych. Zgodnie z przywołaną regulacją za dane osobowe uważa się wszystkie informacje dotyczące: 1) zidentyfikowanej osoby, 2) osoby możliwej do zidentyfikowania. Osobą fizyczną jest każdy człowiek. Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamość może być określona bezpośrednio lub pośrednio. Identyfikacja taka może nastąpić poprzez: 1) powołanie się na numer identyfikacyjny, 2) jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3

1. Regulacje prawne dotyczące ochrony danych osobowych Cechy te muszą być specyficzne dla danej osoby i muszą jednoznacznie na nią wskazywać. Informacja nie będzie uważana za umożliwiającą określenie tożsamości osoby w przypadku, gdyby wymagało to nadmiernych: 1) kosztów, 2) czasu, 3) działań. Pojęcie zbioru danych zdefiniowane zostało w przepisie art. 7 pkt 1 OchrDanU. Zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zgodnie z przywołaną definicją zbiorem danych będzie każdy posiadający strukturę zestaw danych o takich cechach jak: 1) charakter osobowy, 2) dostępność według określonych kryteriów, bez względu na to, czy jest rozproszony czy podzielony funkcjonalnie. Ponadto zestaw danych, aby został uznany za zbiór danych, musi spełniać kumulatywnie takie warunki jak: 1) zawierać dane osobowe, 2) posiadać określoną strukturę, 3) zapewniać dostęp do danych osobowych według określonych kryteriów 1. Dane osobowe w zbiorze danych mogą być utrwalone w różny sposób: 1) obrazem, 2) słowem, 3) dźwiękiem 2. Ze zbiorem danych mamy do czynienia również w sytuacji, gdy znajdują się tam dane tylko jednej osoby, np. ucznia. Ażeby uznać określony zbiór danych za zbiór danych osobowych w rozumieniu OchrDanU, w skład zbioru danych musi wchodzić więcej niż jedna informacja. Cechą, która odróżnia zbiór danych osobowych od innych zbiorów, będzie istnienie jednej lub kilku cech pozwalających na odnalezienie w zbiorze szukanej informacji bez potrzeby przeglądania całego zestawu 3. Cechą zbioru danych osobowych jest jego dostępność. Dlatego jeżeli dotarcie do poszukiwanych danych w zbiorze będzie możliwe, ale jednocześnie znacznie utrud- 1 M. Sakowska, Pojęcie zbiór danych na gruncie ustawy o ochronie danych osobowych, Państwo i Prawo 2003, z. 2, s. 57. 2 J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 391. 3 A. Mednis, Ustawa..., s. 106. 4

1.2. Podstawowe pojęcia związane z ochroną danych osobowych nione, nie będziemy mieli do czynienia ze zbiorem danych osobowych, zgodnie z OchrDanU. GIODO w sprawozdaniu za 2000 r. uznał, że zapis obrazu zarejestrowanego przez kamery służące do monitoringu miasta nie stanowi zbioru danych osobowych. Analogicznie można stwierdzić, że podobne zapisy obrazu przez monitoring szkolny również nie będą spełniały warunku dostępności z punktu widzenia przepisów OchrDanU. Za przetwarzanie danych osobowych, zgodnie z przepisami OchrDanU, uważa się wszelkie operacje, które wykonywane są na danych osobowych. W szczególności możemy zaliczyć do nich: 1) zbieranie danych osobowych, 2) utrwalanie danych osobowych, 3) przechowywanie danych osobowych, 4) opracowywanie danych osobowych, 5) zmienianie danych osobowych, 6) udostępnianie danych osobowych, 7) usuwanie danych osobowych. Za przetwarzanie danych osobowych uważa się w szczególności te operacje, których dokonuje się w systemach informatycznych. Przy ocenie, czy dana czynność może być zakwalifikowana jako zbieranie danych osobowych, należy ocenić, w jakim celu dana osoba wchodzi w posiadanie określonych danych osobowych. W przypadku, gdy celem jest wyłącznie zapoznanie się z informacjami, bez zamiaru ich dalszego przetwarzania, takich czynności nie będzie można zaliczyć jako przetwarzanie danych osobowych. Jeżeli jednak następuje dalsze przetwarzanie zebranych danych należy przyjąć, że doszło do przetwarzania danych osobowych 4. Nie jest również konieczne, aby osoba, która dane zbiera, znała ich treść. Wystarczające jest, aby weszła w ich posiadanie z zamiarem ich dalszego przetwarzania. Wówczas również mamy do czynienia z przetwarzaniem danych osobowych 5. System informatyczny na gruncie OchrDanU został zdefiniowany jako zespół współpracujących ze sobą: 1) urządzeń, 2) programów, 4 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009, s. 115. 5 Tamże, s. 115 116. 5

1. Regulacje prawne dotyczące ochrony danych osobowych 3) procedur przetwarzania informacji i narzędzi programowych, zastosowanych w celu przetwarzania danych osobowych. Szczególne miejsce przy przetwarzaniu danych osobowych odgrywa zabezpieczenie danych w systemie informatycznym. Jako takie zabezpieczenie przepisy Ochr- DanU wskazują wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieusprawiedliwionym przetwarzaniem. Przy przetwarzaniu danych osobowych ważną czynnością jest ich usuwanie. Przez usuwanie danych osobowych rozumie się: 1) zniszczenie danych osobowych, 2) modyfikację danych osobowych w ten sposób, że nie będzie możliwe ustalenie tożsamości osoby, której dotyczą. Pierwsza z wymienionych czynności polegać będzie na definitywnym i bezpowrotnym usunięciu danych osobowych lub fizycznym zniszczeniu nośnika, na którym dane były przechowywane. Czynności te mają doprowadzić do niemożliwości odtworzenia danych. Drugi sposób usuwania danych osobowych to ich anonimizacja. Anonimizacja danych polega na dokonaniu takich operacji na danych osobowych, w wyniku których nie będzie możliwe rozpoznanie osoby, której dane dotyczą. Najczęściej odbywa się ona poprzez usunięcie części danych. W odróżnieniu od usunięcia danych lub zniszczenia ich nośników anonimizacja skutkuje możliwością dalszego dokonywania operacji na ich części. Nie będą one jednak umożliwiały zidentyfikowania tożsamości konkretnej osoby 6. Zgodnie z przepisami OchrDanU za przetwarzanie danych osobowych w danej jednostce odpowiedzialny jest administrator danych. Administratorem danych osobowych jest: 1) organ, 2) jednostka organizacyjna, 3) podmiot, 4) osoba decydująca o celach i środkach przetwarzania danych osobowych. Administrator danych osobowych łączy w sobie dwa uprawnienia: 1) decyduje o celach przetwarzania danych osobowych, 2) decyduje o środkach przetwarzania danych osobowych. W szkole administratorem danych osobowych jest zawsze jej dyrektor. Sprawuje on władztwo oraz kontrolę nad przetwarzanymi danymi osobowymi. Dyrektor będzie również administratorem danych osobowych w sytuacji, gdy szkoła lub 6 Tamże, s. 123. 6

1.2. Podstawowe pojęcia związane z ochroną danych osobowych placówka oświatowa powierzy prowadzenie dziennika elektronicznego zewnętrznemu podmiotowi w drodze umowy. Nawet w sytuacji, gdy na mocy tejże umowy, dyrektor szkoły nie będzie miał fizycznej styczności z danymi osobowymi od etapu ich zebrania, aż do ich usunięcia, to i tak będzie mu przysługiwał status wspomnianego administratora danych osobowych o ile będzie decydował o celach i środkach przetwarzania danych. Podmiot, któremu powierzono przetwarzanie danych w drodze umowy: 1) może przetwarzać dane wyłącznie w zakresie i celu określonym w umowie, 2) jest zobowiązany podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone przepisami prawa. Zgodnie z postanowieniem Sądu Najwyższego z 11.12.2001 r. (sygn. akt II KKN 438/00) rozróżnione zostało pojęcie administratora danych osobowych od administrującego danymi osobowymi. Zgodnie z przywołanym postanowieniem, za administratora danych osobowych można uznać taki podmiot, który decyduje o środkach i celach przetwarzania danych osobowych. Administrującym danymi osobowymi jest natomiast taki podmiot, który zarządza, zawiaduje danymi lub zbiorem danych osobowych. Z powyższego wynika, że administratorem danych osobowych w szkole będzie zawsze jej dyrektor, gdyż: 1) podejmuje on samodzielnie decyzje dotyczące celów i środków użytych do przetwarzania danych osobowych, 2) jest odpowiedzialny za bezpieczeństwo danych osobowych, 3) ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Statusu administratora danych osobowych w szkołach i placówkach oświatowych nie posiadają jednostki obsługi ekonomiczno-administracyjnej szkół i placówek. Jednostki te przetwarzają dane osobowe na zlecenie administratora danych. Spoczywają więc na nich tylko obowiązki nałożone na podmioty, którym administrator powierzył w drodze umowy przetwarzanie danych osobowych. Przetwarzanie danych osobowych musi być oparte na określonych przesłankach. Są nimi uprawnienia lub obowiązki wynikające z przepisów prawa lub zgoda osoby, której dane są przetwarzane. Z tymi dwoma przesłankami będziemy mieli do czynienia w przypadku przetwarzania danych osobowych przez szkoły i placówki oświatowe. Zgodnie z definicją zgody osoby, której dane dotyczą, zawartą w OchrDanU, za taką zgodę rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda taka nie może być domnie- 7

1. Regulacje prawne dotyczące ochrony danych osobowych mana lub dorozumiana z oświadczenia woli o innej treści. Może być ona również odwołana w każdym czasie. Wynika z tego, że zgoda musi być wyraźna i jednoznaczna. Zgoda taka powinna być również wyrażona w warunkach pełnej świadomości i wiedzy po stronie je składającego. Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego (wyrok z 4.4.2003 r., sygn. akt II SA 2135/02) zgoda na przetwarzanie danych musi być wyraźna. Nie spełnia tego wymagania podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych stanowiącego dodatkowy element innego zobowiązania niezwierającego informacji o celach i zakresie przetwarzania danych. Zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażenia. Czynności tej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych. Z praktyki pracy szkoły i placówki oświatowej istotne jest rozstrzygnięcie o tym, kto może złożyć oświadczenie woli pozwalające na przetwarzanie danych osobowych, gdyż uczniowie i wychowankowie mogą być pełnoletni, jak również niepełnoletni, co w sposób znaczący zmienia możliwości podejmowania przez nich skutecznych czynności prawnych. Wobec braku jednoznaczności przepisów w tej mierze i mając na uwadze regulacje Kodeksu cywilnego należy założyć, że w przypadku osób poniżej 13 roku życia, czyli osób nieposiadających zdolności do czynności prawnych w żadnym zakresie (poza drobnymi bieżącymi sprawami życia codziennego, jednakże wyrażenie zgody na przetwarzanie danych osobowych nie można do tej kategorii zaliczyć) zgodę taką powinni złożyć rodzice lub prawni opiekunowie dziecka. W przypadku osoby, która ukończyła 13 lat, czyli osoby posiadającej ograniczoną zdolność do czynności prawnych, zgodę na przetwarzanie danych osobowych powinien złożyć uczeń, którego dane dotyczą, jak również jego rodzic (opiekun prawny). W przypadku chęci odwołania takiej zgody, w pierwszym przypadku wolę taką wyrażałby rodzic (prawny opiekun) ucznia. W drugim przypadku takie oświadczenie wyrażałby sam uczeń lub jego rodzic (opiekun prawny). Oczywiście sam uczeń, który uzyska pełnoletność, będzie mógł wycofać zgodę na przetwarzanie swoich danych osobowych, zgłoszoną przez jego rodzica (prawnego opiekuna). Wydaje się również zasadne, aby dyrektor szkoły, jako administrator danych osobowych, po osiągnięciu pełnoletności swoich uczniów również uzyskiwał od nich zgodę na przetwarzanie danych osobowych, jeżeli wcześniej uczynili to w ich imieniu rodzice (prawni opiekunowie). Dyrektor szkoły może mieć również do czynienia z sytuacją, gdy pełną zdolność do czynności prawnych, a więc również prawo do złożenia we własnym imieniu zgody na przetwarzanie danych osobowych, uzyska uczeń przed ukończeniem osiemnastego roku życia. Zgodnie z przepisem art. 10 2 KC, przez zawarcie małżeństwa mało- 8

1.2. Podstawowe pojęcia związane z ochroną danych osobowych letni uzyskuje pełnoletność i nie traci jej w razie unieważnienia małżeństwa. W takiej sytuacji będzie on również władny decydować we własnym imieniu o zgodzie lub cofnięciu zgody na przetwarzanie swoich danych osobowych 7. Zgodnie z przepisami OchrDanU odbiorcą danych jest każdy, komu udostępnia się dane osobowe z wyłączeniem: 1) osoby, której dane dotyczą, 2) osoby upoważnionej do przetwarzania danych osobowych, 3) przedstawiciela, któremu administrator danych osobowych w drodze umowy przekaże przetwarzanie danych (np. prowadzenie dziennika elektronicznego), 4) podmiotu, któremu administrator danych osobowych wyznacza przedstawiciela w Polsce w przypadku przetwarzania danych osobowych przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim, 5) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. 7 Tamże, s. 143 146. 9

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres