Bezpieczeństwo danych osobowych www.oferta.novo-szkola.pl 23 listopada 2011 r.
Dwa podstawowe akty prawne dotyczą przetwarzania danych osobowych w szkołach AKTY PRAWNE DOT. DANYCH OSOBOWYCH Podstawowe akty prawne regulujące przetwarzanie danych osobowych w szkołach to: ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926 ze zm.) Ustawa, rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) Rozporządzenie. Mają one zastosowanie do wszystkich podmiotów przetwarzających dane osobowe. Ponadto zasady przetwarzania danych osobowych w placówkach oświatowych określają ustawy regulujące system oświaty.
Ustawa dotyczy ochrony wszelkich informacji o uczniach, rodzicach i pracownikach, w formie papierowej oraz elektronicznej DANE OSOBOWE I ICH PRZETWARZANIE Dane osobowe to wszelkie informacje o konkretne osobie w formie papierowej i elektronicznej Art. 6 ust. 1 i 2 Ustawy W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. (wyjaśnienie: danymi osobowymi są zatem także np. numery w dzienniku, adresy itp., nawet bez imienia i nazwiska osoby) (zgodnie z Art. 2 ust. 2 Ustawy chodzi o dane w dowolnej formie, w tym papierowej i elektronicznej) Szkoły przetwarzają dane osobowe uczniów, rodziców i pracowników Szkoły przetwarzają dane osobowe uczniów, rodziców oraz innych opiekunów uczniów, a także nauczycieli i pozostałych pracowników szkoły niezależnie od formy zatrudnienia Przetwarzanie danych obejmuje przechowywanie danych osobowych i wszystkie czynności wykonywane z tymi danymi Art. 7 ust. 2 Ustawy Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie
Za spełnienie wymagań prawnych dotyczących danych osobowych odpowiada zazwyczaj dyrektor szkoły ADMINISTRATOR DANYCH OSOBOWYCH Administratorem danych osobowych jest zazwyczaj dyrektor szkoły Art. 7 pkt 4 Ustawy Administrator danych osobowych - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych (wyjaśnienie: w przypadku szkół publicznych administratorem danych osobowych jest dyrektor szkoły; w przypadku szkół prywatnych administratorem danych osobowych jest podmiot prowadzący działalność szkoły) Administrator danych osobowych odpowiada za spełnienie wymagań Ustawy i Rozporządzenia
Administrator danych osobowych i pracownicy szkoły powinni przetwarzać dane osobowe zgodnie z wymaganiami prawnymi. Inaczej podlegają karze do pozbawienia wolności do lat 2 włącznie PRZESTĘPSTWA DOT. DANYCH OSOBOWYCH Przetwarzanie danych osobowych bez spełnienia wymagań prawnych stanowi przestępstwo: Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. (wyjaśnienie: Art. 51. 1. to najczęstszy powód wyroków, których liczba wzrosła w ciągu kilku lat kilkukrotnie; ze względu na skargi coraz częstsze są kontrole Generalnego Inspektora Ochrony Danych Osobowych w szkołach) 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. (wszedł w życie 07.03.2011 r.) Odpowiedzialność ponoszą osoby bezpośrednio wykonujące czynności dotyczące przetwarzania danych osobowych oraz przełożeni, na których polecenie przetwarzanie danych się odbywa (Art. 18 1 kodeksu karnego).
Niezależnie od formy przechowywania danych papierowej lub elektronicznej konieczne jest wykazanie, że dostęp do danych osobowych mieli wyłącznie pracownicy szkoły i uprawnione organy KONTROLA DOSTĘPU DO DANYCH OSOBOWYCH Dyrektor szkoły powinien mieć możliwość przedstawienia w każdej chwili, kto i kiedy miał dostęp do danych osobowych (np. lista danych adresowych uczniów w formie papierowej jest chroniona w szafie pancernej, a jej udostępnianie jest rejestrowane) Przykład automatycznej rejestracji w programie, kto oraz kiedy zalogował się i miał dostęp do danych osobowych
Niezależnie od formy przechowywania danych papierowej lub elektronicznej prawo wymaga rejestrowania udostępnień danych konkretnej osoby PRZYKŁADY WYMAGAŃ PRAWNYCH (1/3) Udostępnianie danych konkretnej osoby powinno być każdorazowo rejestrowane (np. udostępnienie listy 30 uczniów oznacza, że trzeba wykonać 30 takich rejestracji) Art. 32 ust. 1 pkt 5 Ustawy Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane. Przykład automatycznej rejestracji w programie udostępnień danych konkretnej osoby
Niezależnie od formy przechowywania danych papierowej lub elektronicznej prawo wymaga rejestrowania określonych informacji dotyczących przetwarzania danych PRZYKŁADY WYMAGAŃ PRAWNYCH (2/3) Prawo wymaga pamiętania o zarejestrowaniu wszystkich informacji wymienionych w Ustawie, w tym daty rejestracji danych osobowych (np. nie może się zdarzyć sytuacja, że ktoś omyłkowo wpisał rejestrację danych ucznia po dacie rozpoczęcia roku szkolnego) Art. 32 ust. 1 pkt 3 Ustawy Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące. Przykład automatycznej rejestracji w programie, od kiedy przetwarza się dane konkretnej osoby
Niezależnie od formy przechowywania danych papierowej lub elektronicznej konieczne jest udostępnienie danych wymienionych w kilku punktach Ustawy na potrzeby kontroli przetwarzania danych PRZYKŁADY WYMAGAŃ PRAWNYCH (3/3) Stosowanie odpowiedniego programu do przechowywania danych osobowych zapewnia, że kontrola przetwarzania danych wymaga jednego wydruku obejmującego wszystkie dane wymagane prawem (Art. 32 ust. 1 pkt 1-9 Ustawy i 7 Rozporządzenia).
PODSUMOWANIE Istnieją skuteczne narzędzia darmowe programy komputerowe do obsługi danych osobowych, które po kilkudniowym, łatwym wdrożeniu w szkole zabezpieczają pracowników szkoły dyrekcję, nauczycieli, sekretariat przed przypadkowymi uchybieniami względem ochrony i przetwarzania danych osobowych uczniów, rodziców i pracowników szkoły.