Ochrona danych osobowych w placówce oświatowej Szkolenie pracowników
Każdy pracownik szkoły obowiązany jest wiedzieć, czym są dane osobowe oraz znać wszelkie obowiązujące w danej placówce procedury w tym zakresie. Każdy nowo przyjęty pracownik powinien gruntownie zapoznać się z Polityką bezpieczeństwa i pisemnie potwierdzić znajomość tego dokumentu. Każdy nauczyciel powinien wiedzieć, do jakich danych (zbiorów) ma dostęp oraz w jakim zakresie może z nich korzystać. Musi być również świadomy, że ma prawny obowiązek zachowania danych osobowych w tajemnicy. Każdy pracownik mający dostęp do danych osobowych musi otrzymać upoważnienie do gromadzenia i przetwarzania danych osobowych w formie pisemnej.
Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub pośrednio. Indentyfikacyjne Nazwisko, imię, adres , wiek, wizerunek, podpis Pesel, NIP, telefon, mail, IP komputera Wrażliwe Pochodzenie rasowe, etniczne, stan zdrowia, wyznanie Nałogi, życie seksualne, orzeczenia sądowe i admin. Pozostałe Wykształcenie, stan majątkowy, tryb życia, nawyki, Wyniki w nauce, osiągnięcia sportowe, inne … 3
Administrator danych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Inspektor bezpieczeństwa informacji (IBI) - osoba nadzorująca stosowanie środków technicznych i organizacyjnych przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Art. 36.1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych może wyznaczyć inspektora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba, że sam wykonuje te czynności.
Prawa osób, których dane są gromadzone Każdy ma prawo do ochrony dotyczących go danych osobowych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy; uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze; 6 2014 Ochrona danych osobowych w placówce oświatowej
Prawa osób, których dane są gromadzone żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem Ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane; 7 2014 Ochrona danych osobowych w placówce oświatowej
Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Art. 39.1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 3.Każda osoba przed rozpoczęciem przetwarzania danych osobowych ma obowiązek zapoznania się z przepisami dotyczącymi bezpieczeństwa przetwarzania i ochrony danych osobowych. 4. Administrator danych zobowiązany jest umożliwić pracownikom zapoznanie się z przepisami, o których mowa w ust. 3. 9
Rozporządzenie - dokumentacja Na dokumentację, opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń składa się: -polityka bezpieczeństwa - instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją". Dokumentację prowadzi się w formie pisemnej. Dokumentację wdraża administrator danych. Ochrona danych osobowych w placówce oświatowej 2014
Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Ochrona danych osobowych w placówce oświatowej 2014
Instrukcja systemu informatycznego zawiera w szczególności: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; Ochrona danych osobowych w placówce oświatowej
Instrukcja systemu informatycznego sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych, procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Ochrona danych osobowych w placówce oświatowej 2014
Powierzenie przetwarzania Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
Art. 14. Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej „inspektorami”, mają prawo: 1) wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, 2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, 4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
Zalecenia w zakresie przetwarzania danych osobowych Monitory stanowisk komputerowych wykorzystywanych do przetwarzania danych osobowych, znajdujące się w pomieszczeniach, gdzie przebywają osoby nieposiadające upoważnień do przetwarzania danych osobowych, należy ustawić w taki sposób, aby uniemożliwić osobom postronnym wgląd w wyświetlane dane. Nie należy pozostawiać włączonego komputera bez nadzoru. Jeśli pracownik wychodzi z pomieszczenia, powinien pozostawić co najmniej włączony wygaszacz ekranu z hasłem. 16 Ochrona danych osobowych w placówce oświatowej 2014
Zalecenia w zakresie przetwarzania danych osobowych Komputery wykorzystywane do przetwarzania danych osobowych powinny być szczególnie zabezpieczone przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. Na komputerach muszą być więc zainstalowane programy antywirusowe. 17 Ochrona danych osobowych w placówce oświatowej 2014
Zalecenia w zakresie przetwarzania danych osobowych sposobem tradycyjnym Dokumentacji zawierającej dane osobowe nie można wynosić poza teren szkoły (również w formie elektronicznej). Szczególną uwagę należy zwrócić na wynoszenie dokumentów w celu uzupełnienia ich w domu przez nauczyciela, np. arkuszy ocen, dzienników lekcyjnych itp. Takie praktyki są stanowczo zakazane. Jest to potężne zagrożenie dla obrotu danymi (członkowie rodziny, goście, dzieci, ryzyko zagubienia, kradzieży). 18 2014 Ochrona danych osobowych w placówce oświatowej
Klasówki, kartkówki proszę anonimizować Zalecenia w zakresie przetwarzania danych osobowych sposobem tradycyjnym Klasówki, kartkówki proszę anonimizować Nieaktualna dokumentacja zawierająca dane osobowe powinna być archiwizowana lub niszczona – stare klasówki proszę przynosić do sekretariatu, gdzie zostaną zniszczone w niszczarce. 19 2014 Ochrona danych osobowych w placówce oświatowej
Zalecenia w zakresie przetwarzania danych osobowych sposobem tradycyjnym Często spotykaną praktyką jest wysyłanie uczniów po dziennik. Warto pamiętać, że dziennik zawiera większość danych osobowych ucznia, łącznie z numerami PESEL. Zabronione jest udostępnianie dzienników lekcyjnych osobom nieupoważnionym do przetwarzania zawartych w nich danych, w szczególności uczniom. 20 2014 Ochrona danych osobowych w placówce oświatowej
Odpowiedzialność za naruszenie przepisów ustawy o ochronie danych - udostępnianie danych osobowych osobom nieupoważnionym (art. 51 ustawy) - niedopełnienie obowiązku zabezpieczania danych (art. 52 ustawy) - niedopełnienie obowiązku informacyjnego (art. 54 ustawy) - udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej (art. 54a ustawy) 21 Ochrona danych osobowych w placówce oświatowej 2014
Odpowiedzialność dyscyplinarna - za naruszenie obowiązków pracowniczych, tajemnicy danych osobowych 22 Ochrona danych osobowych w placówce oświatowej 2014
Odpowiedzialność cywilna (za szkodę) - naruszenie dóbr osobistych (roszczenia cywilnoprawne - art. 23, 24 kodeksu cywilnego), - odpowiedzialność odszkodowawcza (art. 415 kodeksu cywilnego) 23 Ochrona danych osobowych w placówce oświatowej 2014
Odpowiedzialność karna Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Ochrona danych osobowych w placówce oświatowej 2014