procedury, instrukcje „ Rada szkoleniowa „Dane osobowe w szkole procedury, instrukcje „ .

Podstawy prawne Ogólne zasady danych osobowych zostały ujęte w art. 26 Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. (tekst jednolity: Dz. U. z 2014 r. poz. 1182; zwanej dalej u.o.d.o.). Art. 26 u.o.d.o. głosi, że administrator danych – czyli szkoła jest zobowiązany do tego, aby przetwarzane dane były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2; 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Definicja danych osobowych Zgodnie z art. 6. u.o.d.o. za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Definicja danych osobowych Według orzeczenia Naczelnego Sądu Administracyjnego z dnia 18 listopada 2009 r. dane osobowe definiuje się jako: dane umożliwiające identyfikację, czyli co najmniej imię, nazwisko i adres zamieszkania, ale także zdjęcia osoby fizycznej umożliwiające jej identyfikację. Innymi słowy, umieszczenie imienia, nazwiska, numeru grupy, nazwy szkoły oraz miejscowości powoduje, że identyfikacja ucznia jest możliwa, czyli bez spełnienia warunku, o którym mowa w art. 6 ust. 3 u.o.d.o. – osoba taka musi otrzymać ochronę określoną w art. 1 u.o.d.o.

Przetwarzanie danych Aby szkoła mogła przetwarzać dane osobowe, musi spełniać warunki: Odnośnie danych zwykłych – ujęte w art. 23 u.o.d.o. Odnośnie danych wrażliwych – ujęte w art. 27 u.o.d.o. Szkoła zazwyczaj przetwarza dane zwykłe.

Dane wrażliwe Przykładowe dane wrażliwe: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym prowadzonym wobec pracownika.

Art.23 u.o.d.o. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Ważne: Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a nie można uzyskać zgody tej osoby to można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

Art. 23 u.o.d.o. 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Legalność Ważne: Wystarczy zrealizować jeden warunek ujęty w art. 23 u.o.d.o., aby przetwarzanie danych osobowych było zgodne z prawem. Dane wrażliwe trzeba zgłosić do GIODO. Dopiero po ich zarejestrowaniu przez GIODO – wolno je przetwarzać.

Zbieranie danych osobowych Gdy szkoła zbiera dane osobowe – opiera się na art. 24. u.o.d.o.: 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. JEST TO TZW. OBOWIĄZEK INFORMACYJNY – JEGO REALIZACJA SPOCZYWA NA ADMINISTRATORZE DANYCH - SZKOLE.

Zbieranie danych osobowych Informacje te należy przekazać osobie, której dane dotyczą w sposób indywidualny – nie można tego zastąpić np. odesłaniem do regulaminu, jeśli osoba nie ma możliwości bezpośrednio zapoznania się z jego treścią. Obowiązek ten powinien być wykonany w zasadzie przed rozpoczęciem zbierania danych. U.o.d.o. nie zawiera bowiem w tym zakresie żadnych wskazówek, ustawodawca także nie sprecyzował w jakiej formie obowiązek informacyjny powinien być spełniony. Można wobec tego uznać, że sposób przekazania informacji jest dowolny (informacje mogą być udzielone np. ustnie).

Zbieranie danych osobowych Jeśli przepisy innej ustawy zezwalają na przetwarzanie danych osobowych bez podania celu ich zbierania oraz w sytuacji, gdy osoba, której dane dotyczą, posiada już wymienione wyżej informacje – wówczas administrator danych (szkoła) nie musi spełniać wyznaczników ust. 1 art. 24 u.o.d.o. Ważne: W tym drugim przypadku (art. 24 ust. 2) wyłączenia obowiązku informacyjnego nie można oprzeć na poczuciu, że osoba zainteresowana jest świadoma wszystkich okoliczności związanych ze zbieraniem jej danych osobowych. Musi to być fakt sprawdzony, czy rzeczywiście podmiotowi danych wszystkie informacje wymienione w art. 24 ust. 1 są znane.

Obowiązek informacyjny Dla wykonania obowiązku informacyjnego o jakim mowa w art. 24 u.o.d.o. nie ma znaczenia: Czy dane są zebrane drogą pisemną, telefonicznie czy też w kontaktach bezpośrednich. Czy dane są utrwalane manualnie czy w systemie informatycznym. Czy zbiór danych już istnieje czy dopiero powstanie na podstawie gromadzonych danych.

Przykładowa klauzula informacyjna administratorem Przykładowa klauzula informacyjna Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) informujemy, że: Administratorem Pana/Pani danych osobowych jest Szkoła Podstawowa im………, z siedzibą w ……………………….., przy ul………………………………………….. Dane osobowe Pana/Pani dziecka będą przetwarzane w celu realizacji konkursu ……………………….. Dane osobowe Pana/Pani dziecka będą/nie będą [należy zaznaczyć] udostępniane odbiorcom w rozumieniu art. 7 pkt 6 u.o.d.o. Posiada Pan/Pani prawo dostępu do treści swoich danych oraz ich poprawiania. Podanie danych osobowych jest dobrowolne/Obowiązek podania danych osobowych wynika z art…..ustawy……

Osoby upoważnione W art. 39 u.o.d.o. wyraźnie określono, że: 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Zabezpieczenie danych osobowych U.o.d.o. nie uściśla konkretnie w jaki sposób należy chronić dane osobowe. Rozdział 5, art. 36 zawiera jedynie zapis: Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto, Administrator danych – Dyrektor ma obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zapewnienia środków, o jakich mowa powyżej. Innymi słowy, to Dyrektor decyduje o rodzaju stosowanych zabezpieczeń. Natomiast nauczyciele muszą bezwzględnie przestrzegać wprowadzonych procedur.

Zabezpieczenie danych osobowych Do środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych zalicza się m.in. odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Poziom środków bezpieczeństwa należy dostosować do zagrożeń oraz kategorii danych osobowych przetwarzanych w systemie informatycznym. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024) – zwane dalej rozporządzeniem w sprawie dokumentacji wprowadza trzy poziomy środków bezpieczeństwa: podstawowy, podwyższony oraz wysoki.

Podstawowy poziom środków bezpieczeństwa Poziom co najmniej podstawowy stosuje się, gdy administrator w prowadzonym w systemie informatycznym zbiorze przetwarza tylko dane tzw. zwykłe (bez tzw. szczególnie chronionych, o których mowa w art. 27 ust. 1 u.o.d.o), czyli np. imię i nazwisko, adres zamieszkania, czy numer PESEL, i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Podwyższony poziom środków bezpieczeństwa Poziom co najmniej podwyższony stosuje się, gdy administrator danych w prowadzonym w systemie informatycznym zbiorze przetwarza dane szczególnie chronione, czyli np. oprócz imienia i nazwisko, adresu zamieszkania, czy numeru PESEL, wykorzystuje także dane o stanie zdrowia, czy o orzeczeniach sądowych lub administracyjnych, ale żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną.

Wysoki poziom środków bezpieczeństwa Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Niezastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym oznacza, że urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w rozporządzeniu w sprawie dokumentacji, co stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych.

Rejestracja danych osobowych Należy pamiętać, że zbiorem danych osobowych jest każdy posiadający strukturę zestaw danych o charakterze osobowym dostępnych według określonych kryteriów. Są to zarówno dane przetwarzane w systemach informatycznych, jak i znajdujące się we wszelkich kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. Są to wobec powyższego: księgi uczniów, arkusze ocen, akta osobowe pracowników, dokumentacje zakładowego funduszu świadczeń socjalnych, ewidencje systemu informacji oświatowej, rejestry delegacji służbowych,

Rejestracja danych osobowych listy płac pracowników, deklaracje ubezpieczeniowe pracowników, deklaracje podatkowe pracowników, podania o przyjęcie do szkoły, dzienniki zajęć obowiązkowych i dodatkowych (dzienniki zajęć, nauczania indywidualnego, pedagoga, wychowawcy świetlicy itp.), zaświadczenia z poradni psychologiczno-pedagogicznej i inne orzeczenia i opinie, ewidencje decyzji administracyjnych dyrektora, deklaracje uczęszczania na religię, rejestr zaświadczeń wydanych pracownikom, rejestry wypadków, ewidencja podejrzeń o chorobę zawodową itp., księgi druków ścisłego zarachowania, zbiory upoważnień, protokoły rad pedagogicznych, księga uchwał, teczki awansu zawodowego.

Zbiory zwolnione z obowiązku rejestracyjnego Zbiory danych osobowych dotyczące nauczycieli, wychowawców i innych pracowników pedagogicznych podlegają obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obowiązku tego powinny dopełnić podmioty wymienione w art. 4 ustawy o systemie informacji oświatowej z 15 kwietnia 2011 r., zwana dalej u.s.i.o. (Dz. U. z 2001 r. Nr 139, poz. 814), czyli m.in. szkoły, placówki oświatowe, placówki opiekuńczo – wychowawcze, jednostki samorządu terytorialnego, jeżeli nie zachodzi w ich przypadku przesłanka zwolnienia z obowiązku rejestracji, o której mowa w art. 43 ust. 1 pkt 4 u.o.d.o. Zgodnie z nowelizacją u.o.d.o. od stycznia 2015 roku jeśli Administrator Danych Osobowych: powoła Administratora Bezpieczeństwa Informacji zgłosi ten fakt – w ciągu 30 dni – do GIODO, wówczas będzie zwolniony z obowiązku zgłaszania zbiorów danych do rejestracji. Zwolnione ze zgłoszenia są również zbiory prowadzone wyłącznie w wersji papierowej. NIE DOTYCZY TO DANYCH WRAŻLIWYCH.

Zbiory zwolnione z obowiązku rejestracyjnego W przypadku danych pracowników szkoły zwolnienie z obowiązku rejestracyjnego dotyczy zarówno obecnych, jak i byłych pracowników, których dane osobowe są przechowywane w szkole, np. w celu naliczenia ZFŚS, przyszłych pracowników (np. w gromadzonych CV). Odnosi się to również do umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło). Ważne: Konieczna jest jednak rejestracja danych pracowników przetwarzanych przez tzw. ZEAS-y (Zespół Ekonomiczno-Administracyjny Szkół), które prowadzą dla szkoły kadry i księgowość, ponieważ chodzi tutaj o dane osobowe pracowników niezatrudnionych przez podmiot, który je przetwarza.

Prowadzenie dokumentacji Art. 36 pkt 2 u.o.d.o. zobowiązuje szkoły do prowadzenia dokumentacji z zakresu ochrony danych osobowych. Składają się na nią: Polityka bezpieczeństwa, czyli zbiór podstawowych zasad regulujących sposób ochrony danych osobowych w placówce. Instrukcja zarządzania systemem informatycznym. Oba dokumenty muszą mieć formę pisemną. Powyższe kwestie reguluje rozporządzenie w sprawie dokumentacji.

Administrator Bezpieczeństwa Informacji Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 roku, Administrator Danych Osobowych (Dyrektor szkoły) może (ale nie musi) powołać Administratora Bezpieczeństwa Informacji (i jego zastępców). Jeśli to zrobi, wówczas placówka będzie zwolniona z obowiązku zgłaszania zbiorów danych do rejestracji. Wyjątek: dane wrażliwe. Chociaż u.o.d.o. nie ukonkretnia tej kwestii, to przyjęło się, że ABI powinien być osobą fizyczną (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005).

Zadania Administratora Bezpieczeństwa Informacji przeprowadzanie okresowego audytu w placówce, podczas którego ABI sprawdzi czy zasady ochrony danych są przestrzegane; z audytu będzie musiał przygotować sprawozdanie, nadzór nad dokumentacją zawierającą zasady ochrony danych – sprawdzenie czy dokumentacja jest opracowana i aktualizowana i czy zasady w niej zawarte są przestrzegane, informowanie innych pracowników o ustalonych zasadach ochrony danych (niekoniecznie muszą być to szkolenia), prowadzenie jawnego rejestru danych osobowych – rejestr ma być jawny, czyli ewidencja zbiorów danych, które są w danej placówce musi być dostępna np. na stronie internetowej lub w siedzibie firmy, przeprowadzenie audytu z ochrony danych na prośbę Generalnego Inspektora Ochrony Danych Osobowych i przygotowanie sprawozdania ze sprawdzenia, które za pośrednictwem ADO zostanie przesłane do GIODO.

Zgłoszenie danych osobowych Każdy zbiór danych musi być osobno zgłoszony. Wniosek wypełnia się na formularzu, będącym załącznikiem do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2011 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. W przypadku danych zwykłych złożenie wniosku jest równoznaczne z legalnym przetwarzaniem danych. Dane wrażliwe mogą być przetwarzane dopiero po otrzymaniu zaświadczenia o zakończeniu rejestracji. Zbiory są dostępne na stronie www.egiodo.gov.pl