Ochrona danych osobowych w placówce oświatowej

Slides:



Advertisements
Podobne prezentacje
Ochrona danych osobowych w Urzędzie Miasta
Advertisements

Ochrona danych osobowych
Wyciąg z dokumentacji związanej z ochroną danych osobowych uczestników projektu Akademia uczniowska przetwarzanych w ramach zbioru PEFS 2007 i obowiązującej.
[Main presentation title here – Verdana – 16 font]
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
OCHRONA DANYCH OSOBOWYCH
Tryb przeprowadzania kontroli na podstawie:
Eksploatacja zasobów informatycznych przedsiębiorstwa
Aktualne zagadnienia prawne.
„Ochrona osób, mienia, obiektów i obszarów”
Szkolenie w zakresie ochrony danych osobowych
Środki bezpieczeństwa
Ochrona danych osobowych
Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Rejestracja Zbioru Danych w GIODO.
PAŃSTWOWA INSPEKCJA SANITARNA
Ochrona danych osobowych w ngo
Ochrona danych osobowych
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
ZASADY PRZEPROWADZANIA KONTROLI
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Pracownicze dane osobowe
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Ochrona danych osobowych w placówce oświatowej
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w administracji publicznej
Ochrona danych osobowych
Szkolenie w ramach programu „Twoje dane – Twoja sprawa”
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Narada z przedstawicielami komend wojewódzkich PSP, szkół PSP oraz CMP odpowiedzialnymi za archiwizację dokumentacji Częstochowa, dnia maja 2015.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Szkolenie Ochrona danych osobowych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
Uniwersytet Marii Curie-Skłodowskiej w Lublinie
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
Ochrona danych osobowych
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Ochrona danych osobowych
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
Udostępnianie dokumentacji w archiwum wyodrębNionym – do celów służbowych i naukowo-badawczych mgr Klaudia Banach.
Wydział Prawa, Administracji i Ekonomii
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
OCHRONA DANYCH OSOBOWYCH
OCHRONA DANYCH OSOBOWYCH
Odpowiedzialność za naruszenie przepisów o ochronie informacji niejawnych Ustawa o ochronie informacji niejawnych, mimo uregulowania wielu najistotniejszych.
KTO CHCE TWOJE DANE OSOBOWE?
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
Wydział Prawa, Administracji i Ekonomii
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Zapis prezentacji:

Ochrona danych osobowych w placówce oświatowej Szkolenie pracowników

Każdy pracownik szkoły obowiązany jest wiedzieć, czym są dane osobowe oraz znać wszelkie obowiązujące w danej placówce procedury w tym zakresie. Każdy nowo przyjęty pracownik powinien gruntownie zapoznać się z Polityką bezpieczeństwa i pisemnie potwierdzić znajomość tego dokumentu. Każdy nauczyciel powinien wiedzieć, do jakich danych (zbiorów) ma dostęp oraz w jakim zakresie może z nich korzystać. Musi być również świadomy, że ma prawny obowiązek zachowania danych osobowych w tajemnicy. Każdy pracownik mający dostęp do danych osobowych musi otrzymać upoważnienie do gromadzenia i przetwarzania danych osobowych w formie pisemnej.

Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio. Indentyfikacyjne Nazwisko, imię, adres , wiek, wizerunek, podpis Pesel, NIP, telefon, mail, IP komputera Wrażliwe Pochodzenie rasowe, etniczne, stan zdrowia, wyznanie Nałogi, życie seksualne, orzeczenia sądowe i admin. Pozostałe Wykształcenie, stan majątkowy, tryb życia, nawyki, Wyniki w nauce, osiągnięcia sportowe, inne … 3

Administrator danych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Inspektor bezpieczeństwa informacji (IBI) - osoba nadzorująca stosowanie środków technicznych i organizacyjnych przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Art. 36.1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych może wyznaczyć inspektora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba, że sam wykonuje te czynności.

Prawa osób, których dane są gromadzone Każdy ma prawo do ochrony dotyczących go danych osobowych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy; uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze; 6 2014 Ochrona danych osobowych w placówce oświatowej

Prawa osób, których dane są gromadzone żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem Ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane; 7 2014 Ochrona danych osobowych w placówce oświatowej

Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Art. 39.1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym

2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 3.Każda osoba przed rozpoczęciem przetwarzania danych osobowych ma obowiązek zapoznania się z przepisami dotyczącymi bezpieczeństwa przetwarzania i ochrony danych osobowych. 4. Administrator danych zobowiązany jest umożliwić pracownikom zapoznanie się z przepisami, o których mowa w ust. 3. 9

Rozporządzenie - dokumentacja Na dokumentację, opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń składa się: -polityka bezpieczeństwa - instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją". Dokumentację prowadzi się w formie pisemnej. Dokumentację wdraża administrator danych. Ochrona danych osobowych w placówce oświatowej 2014

Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Ochrona danych osobowych w placówce oświatowej 2014

Instrukcja systemu informatycznego zawiera w szczególności: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; Ochrona danych osobowych w placówce oświatowej

Instrukcja systemu informatycznego sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych, procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Ochrona danych osobowych w placówce oświatowej 2014

Powierzenie przetwarzania Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Art. 14. Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej „inspektorami”, mają prawo: 1) wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, 2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, 4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,

Zalecenia w zakresie przetwarzania danych osobowych Monitory stanowisk komputerowych wykorzystywanych do przetwarzania danych osobowych, znajdujące się w pomieszczeniach, gdzie przebywają osoby nieposiadające upoważnień do przetwarzania danych osobowych, należy ustawić w taki sposób, aby uniemożliwić osobom postronnym wgląd w wyświetlane dane. Nie należy pozostawiać włączonego komputera bez nadzoru. Jeśli pracownik wychodzi z pomieszczenia, powinien pozostawić co najmniej włączony wygaszacz ekranu z hasłem. 16 Ochrona danych osobowych w placówce oświatowej 2014

Zalecenia w zakresie przetwarzania danych osobowych Komputery wykorzystywane do przetwarzania danych osobowych powinny być szczególnie zabezpieczone przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. Na komputerach muszą być więc zainstalowane programy antywirusowe. 17 Ochrona danych osobowych w placówce oświatowej 2014

Zalecenia w zakresie przetwarzania danych osobowych sposobem tradycyjnym Dokumentacji zawierającej dane osobowe nie można wynosić poza teren szkoły (również w formie elektronicznej). Szczególną uwagę należy zwrócić na wynoszenie dokumentów w celu uzupełnienia ich w domu przez nauczyciela, np. arkuszy ocen, dzienników lekcyjnych itp. Takie praktyki są stanowczo zakazane. Jest to potężne zagrożenie dla obrotu danymi (członkowie rodziny, goście, dzieci, ryzyko zagubienia, kradzieży). 18 2014 Ochrona danych osobowych w placówce oświatowej

Klasówki, kartkówki proszę anonimizować Zalecenia w zakresie przetwarzania danych osobowych sposobem tradycyjnym Klasówki, kartkówki proszę anonimizować Nieaktualna dokumentacja zawierająca dane osobowe powinna być archiwizowana lub niszczona – stare klasówki proszę przynosić do sekretariatu, gdzie zostaną zniszczone w niszczarce. 19 2014 Ochrona danych osobowych w placówce oświatowej

Zalecenia w zakresie przetwarzania danych osobowych sposobem tradycyjnym Często spotykaną praktyką jest wysyłanie uczniów po dziennik. Warto pamiętać, że dziennik zawiera większość danych osobowych ucznia, łącznie z numerami PESEL. Zabronione jest udostępnianie dzienników lekcyjnych osobom nieupoważnionym do przetwarzania zawartych w nich danych, w szczególności uczniom. 20 2014 Ochrona danych osobowych w placówce oświatowej

Odpowiedzialność za naruszenie przepisów ustawy o ochronie danych - udostępnianie danych osobowych osobom nieupoważnionym (art. 51 ustawy) - niedopełnienie obowiązku zabezpieczania danych (art. 52 ustawy) - niedopełnienie obowiązku informacyjnego (art. 54 ustawy) - udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej (art. 54a ustawy) 21 Ochrona danych osobowych w placówce oświatowej 2014

Odpowiedzialność dyscyplinarna - za naruszenie obowiązków pracowniczych, tajemnicy danych osobowych 22 Ochrona danych osobowych w placówce oświatowej 2014

Odpowiedzialność cywilna (za szkodę) - naruszenie dóbr osobistych (roszczenia cywilnoprawne - art. 23, 24 kodeksu cywilnego), - odpowiedzialność odszkodowawcza (art. 415 kodeksu cywilnego) 23 Ochrona danych osobowych w placówce oświatowej 2014

Odpowiedzialność karna Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Ochrona danych osobowych w placówce oświatowej 2014