Szkolenie w ramach programu „Twoje dane – Twoja sprawa” mgr Magdalena Celeban Częstochowa, dn. 05.03. 2015r.

Program szkolenia Część I. ABC OCHRONY DANYCH OSOBOWYCH W SZKOŁACH Część II. „TWOJE DANE-TWOJA SPRAWA” – inicjatywa skierowana do uczniów i nauczycieli

Część I ABC OCHRONY DANYCH OSOBOWYCH W SZKOŁACH Akty prawne Definicja danych osobowych zwykłych i szczególnie chronionych Definicja administratora danych Definicja powierzenia przetwarzania danych osobowych Definicja przetwarzania danych osobowych Definicja zgoda Obowiązki administratora danych Przetwarzanie danych zwykłych i szczególnie chronionych Zabezpieczenie przetwarzania danych osobowych Podstawowe zasady ochrony danych osobowych Administrator bezpieczeństwa informacji Obowiązek informacyjny, szczególnej staranności Naruszanie przepisów ustawy Kontrola GIODO (ocena wyników kontroli w szkołach)

Akty prawne Pierwszym aktem prawnym o zasięgu międzynarodowym, kompleksowo regulującym zagadnienia ochrony danych osobowych, jest Konwencja Nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Takim aktem na poziomie europejskim jest dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zasady w nich wyrażone przeniosła do polskiego porządku prawnego ustawa o ochronie danych osobowych, zwana dalej ustawą. Jej uchwalenie w dniu 29 sierpnia 1997 r. było przejawem postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego obywatela znajdujących wyraz w art. 47 i 51 Konstytucji RP z dnia 2 kwietnia 1997 r.

KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ Artykuł 47 Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Artykuł 51 Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 1. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 2. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 3. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 4. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

KONWENCJA O OCHRONIE PRAW CZŁOWIEKA I PODSTAWOWYCH WOLNOŚCI Artykuł 8 PRAWO DO POSZANOWANIA ŻYCIA PRYWATNEGO I RODZINNEGO 1. Każdy ma prawo do poszanowania swojego życia prywatnego i rodzinnego, swojego mieszkania i swojej korespondencji. 2. Niedopuszczalna jest ingerencja władzy publicznej w korzystanie z tego prawa, z wyjątkiem przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności innych osób.

KARTA PRAW PODSTAWOWYCH UNII EUROPEJSKIEJ (2010/C 83/02) Artykuł 7 Poszanowanie życia prywatnego i rodzinnego Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się. Artykuł 8 Ochrona danych osobowych 1. Każdy ma prawo do ochrony danych osobowych, które go dotyczą. 2. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. 3. Przestrzeganie tych zasad podlega kontroli niezależnego organu.

POWSZECHNA DEKLARACJA PRAW CZŁOWIEKA Artykuł 12 Nie wolno ingerować samowolnie w czyjekolwiek życie prywatne, rodzinne, domowe, ani w jego korespondencję, ani też uwłaczać jego honorowi lub dobremu imieniu. Każdy człowiek ma prawo do ochrony prawnej przeciwko takiej ingerencji lub uwłaczaniu.

Definicja danych osobowych Danymi osobowymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana. Możliwą do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

w konsekwencji można odnieść do konkretnej osoby. Do danych osobowych zalicza się więc nie tylko imię, nazwisko i adres osoby, ale również przypisane jej numery, dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, rozmiar buta czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem ewidencyjnym PESEL, które w konsekwencji można odnieść do konkretnej osoby.

Pesel Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer ewidencyjny PESEL. Numer ten, zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych1, jest 11 cyfrowym, symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną, służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Numer ten, występując nawet bez zestawienia z innymi informacjami o osobie, stanowi dane osobowe, a ich przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie.

Dane osobowe zwykłe i szczególnie chronione Dane osobowe zwykłe (np. imię, nazwisko, adres zamieszkania, data urodzenia, nr PESEL, numer telefonu, itp.). Dane szczególnie chronione (wrażliwe), których zamknięty katalog został określony w art. 27 ust. 1. Są to: dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu i mandatach karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Co ważne, przetwarzanie danych wrażliwych wiąże się z koniecznością spełnienia dodatkowych gwarancji.

Administrator danych Realizacja zasad przetwarzania danych osobowych jest przede wszystkim obowiązkiem administratora danych, którym zgodnie z art. 7 pkt 4 ustawy, jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Bardzo często o tym, kto jest administratorem danych decydują przepisy szczególne. Z taką sytuacją co do zasady mamy do czynienia w przypadku szkoły. Oznacza to, że kierujący i reprezentujący ją dyrektor ma zapewnić w kierowanej przez siebie placówce zgodność z prawem przetwarzania danych osobowych, jak również ponosi odpowiedzialność za działania wszystkich osób upoważnionych do przetwarzania danych. Warto zauważyć, że obowiązki nałożone przez ustawę na szkoły i kierujących nimi dyrektorów, nie powinny być sprowadzane jedynie do wymogów o charakterze formalnym, których naruszenie może rodzić odpowiedzialność administracyjną, karną, dyscyplinarną, czy cywilnoprawną, lecz również powinny być widziane szerzej jako element dobrego zarządzania placówką, w tym budowania odpowiednich relacji z rodzicami uczęszczających do niej uczniów

Definicja powierzenia przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych określone w art. 31 ustawy ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie w określonym zakresie z wiedzy posiadanej przez podmiot specjalistyczny (tzw. podmiot, któremu powierzono przetwarzanie danych osobowych’ lub w skrócie ‘przetwarzającego’). Do powierzenia przetwarzania danych osobowych przez ich administratora nie jest wymagana zgoda osoby, której dane dotyczą. Ustawa wymaga natomiast, aby umowa łącząca administratora danych z przetwarzającym, była zawarta na piśmie i wyraźnie określała zakres i cel przetwarzania danych osobowych. Z faktem, że podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się ich administratorem związane są określone skutki. Nie spoczywają na nim identyczne obowiązki, którymi ustawodawca obciążył administratora danych. Jest on jednak zobowiązany do podjęcia odpowiednich środków organizacyjno-technicznych.

Definicja przetwarzania danych osobowych Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. Przetwarzaniem jest zatem już samo przechowywanie danych osobowych, nawet jeśli podmiot faktycznie z nich nie korzysta. W pojęciu przetwarzania mieści się także ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie.

Definicja zgoda W myśl art. 7 pkt 5 ustawy przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Z definicji tej nie wynikają szczegółowe zasady formułowania klauzul zgody, Jednakże podkreśla się, że z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. W przypadku zgody na wykorzystywanie danych osobowych podlegających szczególnej ochronie – danych wrażliwych – zgoda musi być wyrażona na piśmie. Zgoda w każdym czasie może być odwołana.

Przetwarzanie danych szczególnie chronionych: Wykorzystywanie danych podlegających szczególnej ochronie, co do zasady, jest zabronione z mocy art. 27 ust. 1 ustawy. Z danych tych może jednak korzystać ten administrator, który wykaże, że znajduje się w jednej z wyjątkowych sytuacji, Opisanych w art. 27 ust. 2 ustawy. Przetwarzanie takich danych jest dopuszczalne, jeśli wyrazi na to pisemną zgodę osoba, której one dotyczą (art. 27 ust. 2 pkt 1) lub zezwala na to przepis szczególny Innej ustawy, dający pełne gwarancje ochrony tych danych (art. 27 ust. 2 pkt 2). Przetwarzanie danych szczególnie chronionych dopuszcza się również, jeśli następuje ono w celu ochrony żywotnych interesów osoby, której dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, fizycznie lub prawnie nie jest w stanie wyrazić zgody, do czasu ustanowienia opiekuna prawnego albo kuratora (art. 27 ust. 2 pkt 3); gdy jest to niezbędne do wykonania statutowych zadań (...),gdy dotyczy danych, które są niezbędne do dochodzenia praw przed sądem (...), gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt 7);

Zabezpieczenie przetwarzania danych osobowych Jednym z podstawowych obowiązków administratora danych jest zastosowanie odpowiednich zabezpieczeń, o których stanowią przepisy rozdziału 5 ustawy. Administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy).

Podstawowe zasady ochrony danych osobowych Zgodnie z art. 26 ust. 1 ustawy, szkoła, w tym kierujący nią dyrektor, muszą dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a co za Tym idzie, jest zobowiązany do przestrzegania następujących zasad: a) legalności — dane mają być przetwarzane zgodnie z przepisami prawa, w szczególności po spełnieniu jednej z przesłanek legalności wymienionych w art. 23 ust. 1 lub art. 27 ust. 2 ustawy; b) celowości — dane powinny być zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu, jeśli jest to niezgodne z tymi celami — przetwarzanie danych w celu innym niż ten, dla którego zastały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (art. 26 ust. 2 ustawy) lub z zachowaniem przepisów dotyczących dopuszczalności przetwarzania danych (art. 23) i spełnieniem obowiązku informacyjnego, w przypadku zbierania danych nie od osoby, której dotyczą (art.25);

cd c) merytorycznej poprawności — dane powinny być merytorycznie poprawne i aktualne; d) adekwatności — dane powinny być adekwatne w stosunku do celów, w jakich są przetwarzane, tj. ich zakres nie może wykraczać poza to, co jest niezbędne do osiągnięcia tych celów, dane nie mogą być zbierane „na zapas”; e) ograniczenia czasowego — dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie mogą być przetwarzane dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania.

Co do zasady dyrektor szkoły przetwarza dane osobowe dzieci, rodziców, nauczycieli, czy też innych pracowników na podstawie przepisów prawa, które w sposób szczególny regulują różne kwestie związane z funkcjonowaniem systemu oświaty. Będą to przede wszystkim przepisy: − ustawy z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2004 r. Nr 256, poz. 2572 ze zm.), − ustawy z dnia 26 stycznia 1982 r. Karta Nauczyciela (Dz.U. z 2006, Nr 97, poz. 674 ze zm.) − ustawy z dnia 19 lutego 2004 r. o systemie informacji oświatowej (Dz. U. Nr 49, poz. 463 ze zm.) − oraz aktów wykonawczych do ww. ustaw. Przetwarzanie dany osobowych dzieci oraz ich rodziców odbywa się na podstawie przepisów ustawy o systemie oświaty oraz rozporządzenia w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji.

Mogą jednak zaistnieć okoliczności, w których przetwarzanie danych dzieci lub rodziców jest dopuszczalne na podstawie zgody, a nawet taka zgoda jest wymagana. Przykładem może być przetwarzanie danych rodziców w szerszym zakresie niż przewidują to przepisy prawa (np. adres poczty elektronicznej) w celu umożliwienia z nimi łatwiejszego kontaktu, czy umieszczenie wizerunku dzieci na stronie internetowej. Tak samo umieszczenie na tablicy ogłoszeń w szkole listy osób zalegających z płatnościami nie jest dopuszczalne bez wyrażenia przez nie zgody na taką formę udostępnienia ich danych osobowych. Podstawę prawna przetwarzania przez dyrektora szkoły danych osobowych nauczycieli statuują przepisy ustawy – Karta nauczyciela. Dla przykładu Karta nauczyciela wprowadza procedury postępowania w sprawie nadania odpowiedniego stopnia awansu zawodowego, rodzaj dokumentacji załączanej do wniosku nauczyciela o podjęcie postępowania kwalifikacyjnego, jak również zakres wymagań do poszczególnych stopni awansu zawodowego określa rozporządzenie Ministra Edukacji i Sportu z dnia 1 grudnia 2004 r. w sprawie uzyskiwania stopni awansu zawodowego przez nauczycieli (Dz. U. z 2004 r. Nr 260 poz. 2593 ze zm.).

Administrator bezpieczeństwa informacji Wyznaczenie administratora bezpieczeństwa informacji jest jednym z Obowiązków administratora danych, wynikającym z art. 36 ust. 3 ustawy, służącym właściwemu zabezpieczeniu danych. Administrator bezpieczeństwa informacji nadzoruje przestrzeganie zasad Ochrony danych, określonych przez administratora, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych sam może pełnić funkcję administratora bezpieczeństwa informacji.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez administratora danych. Ponadto – zgodnie z art. 38 – administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Ten ostatni wymóg odnosi się nie tylko do kwestii bezpieczeństwa, ale również funkcjonalności systemu, w którym będą przetwarzane dane osobowe. Szkoła jest zobowiązana prowadzić ewidencję osób upoważnionych do ich przetwarzania, która — zgodnie z art. 39 ust. 1 uodo — powinna zawierać: imię i nazwisko osoby upoważnionej; datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych; identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Ponadto ustawa (art. 39 ust. 2) zobowiązuje osoby, które zostały upoważnione do przetwarzania danych, do zachowania w tajemnicy zarówno tych danych, jak i sposobów ich zabezpieczenia. Ważne jest, że osoba upoważniona do przetwarzania danych nie może wykorzystywać ich na swoją rzecz i w innych celach. Dla przykładu, nauczyciel nie może wykorzystać danych rodziców w celu zaoferowania im zawarcia umowy ubezpieczenia w ramach prowadzonej dodatkowo działalności agencyjnej.

Zgodnie z § 3–5 rozporządzenia, administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Polityka bezpieczeństwa swym zakresem powinna obejmować przetwarzanie danych zarówno w systemach informatycznych, jak i w formie tradycyjnej. Jej celem jest wskazanie działań, jakie należy wykonać oraz reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. Prawidłowe zarządzanie zasobami, w tym również informacyjnymi, zwłaszcza w aspekcie bezpieczeństwa informacji, wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przetwarzania. Wybór odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowanych nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania. Dlatego w § 4 rozporządzenia wskazano, że polityka bezpieczeństwa powinna zawierać w szczególności: − wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; − wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; − opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; − sposób przepływu danych pomiędzy poszczególnymi systemami; − określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Jednym z wymogów nałożonych na administratorów danych, zgodnie z § 3 ust. 1 rozporządzenia, jest również opracowanie instrukcji, określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwanej dalej instrukcją. Powinna być ona zatwierdzona przez administratora danych i przyjęta do stosowania jako obowiązujący dokument. Zawarte w niej procedury i wytyczne powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. Na przykład, zasady i procedury nadawania uprawnień do przetwarzania danych osobowych czy też sposób prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych powinny być przekazane osobom zarządzającym organizacją przetwarzania danych; sposób rozpoczęcia i zakończenia pracy, sposób użytkowania systemu czy też zasady zmiany haseł — wszystkim osobom będącym jego użytkownikami; zasady ochrony antywirusowej, a także procedury wykonywania kopii zapasowych — osobom zajmującym się techniczną eksploatacją i utrzymaniem ciągłości pracy systemu. W treści instrukcji powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, zastosowanych rozwiązaniach technicznych, jak również procedurach eksploatacji i zasadach użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Gdy administrator do przetwarzania danych wykorzystuje nie jeden, lecz kilka systemów informatycznych, wówczas — stosownie do podobieństwa zastosowanych rozwiązań — powinien opracować jedną, ogólną instrukcję zarządzania lub oddzielne instrukcje dla każdego z użytkowanych systemów.

Naruszanie przepisów ustawy Naruszenie przepisów ustawy Naruszenie przepisów o ochronie danych osobowych, o których mowa w rozdziale 8 ustawy, może narazić administratora danych na odpowiedzialność:  administracyjnoprawną,  karną,  dyscyplinarną. oraz  cywilnoprawną. Niemniej, GIODO nie ma uprawnień do karania osób odpowiedzialnych za niezgodne z prawem przetwarzanie danych osobowych. Podmiotem właściwym w tej kwestii jest sąd. Oznacza to, że w razie stwierdzenia, iż czyjeś działanie lub zaniechanie wyczerpuje znamiona przestępstwa określonego w ustawie, GIODO kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. Natomiast GIODO ma uprawnienia organu egzekucyjnego w zakresie egzekucji obowiązków o charakterze niepieniężnym. A zatem, stosownie do ustawy z dnia 17czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, GIODO może nakładać grzywny w celu przymuszenia wykonania wydanej przez siebie decyzji administracyjnej.

Dodatkowe informacje Na stronie internetowej GIODO można znaleźć odpowiedzi na podstawowe zagadnienia dotyczące przepisów o ochronie danych osobowych pod następującymi adresami: „Porady i wskazówki” (http://www.giodo.gov.pl/163/) oraz „Odpowiedzi na pytania” (http://www.giodo.gov.pl/266/j/pl/).

Kontrola Uprawnienia kontrolne GIODO Wstęp do pomieszczeń (od 6.00 do 22.0) Przeprowadzenie niezbędnych badań lub innych czynności kontrolnych Żądanie złożenia pisemnych lub ustnych wyjaśnień, wzywanie i przesłuchiwanie osób Wgląd do wszelkich dokumentów i danych oraz prawo do sporządzenia ich kopii Przeprowadzenie oględzin urządzeń, nośników oraz systemów informatycznych Zlecenie sporządzenia ekspertyz i opinii Rodzaje kontroli Kontrola z urzędu – z inicjatywy własnej GIODO Kontrola na wniosek – inspiracja pochodzi z zewnątrz, od innego podmiotu Kontrola kompleksowa – dotyczy wszystkich zbiorów Kontrola częściowa – dotyczy wybranych zagadnień w procesie przetwarzania danych

Ocena wyników kontroli przeprowadzonych w szkołach Kontrole przeprowadzono w szkołach podstawowych, gimnazjach i liceach ogólnokształcących Zakresem kontroli objęto przetwarzanie danych uczniów, nauczycieli i pozostałych pracowników szkół Analizując wyniki kontroli stwierdzono, że najczęściej występowały nieprawidłowości w procesie przetwarzania danych przy użyciu systemów informatycznych

Ocena wyników kontroli przeprowadzonych w szkołach Systemy informatyczne nie zapewniały: Odnotowania daty pierwszego wprowadzenia danych Identyfikatora użytkownika wprowadzającego dane Hasła służące do uwierzytelniania nie były zmieniane co 30 dni Nie był rejestrowany w systemie informatycznym dla każdego użytkownika odrębny identyfikator Dostęp do systemu był możliwy bez wprowadzania odrębnego identyfikatora i uwierzytelnienia w systemie Systemy nie były zabezpieczone przed utratą danych spowodowanych awarią zasilania lub zakłóceniami w sieci zasilającej Nie wykonywano kopii zapasowych prowadzonych przez szkoły zbiorów danych oraz programów służących do przetwarzania danych uczniów i nauczycieli

Ocena wyników kontroli przeprowadzonych w szkołach Hasła służące do uwierzytelnienia składały się z mniej niż 8 znaków (poziom podwyższony – dane wrażliwe) Nie zastosowano mechanizmów kontroli dostępu do danych osobowych Nie opracowano dokumentacji przetwarzania danych tj. Polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych lub istniejąca dokumentacja nie zawierała wszystkich istotnych elementów wymaganych przepisami o ochronie danych osobowych Dokumentację zawierającą dane osobowe przechowywano w sposób umożliwiający dostęp do takiej dokumentacji osobom nieupoważnionym, tj. na otwartych regałach, w niezamykanych szafach w pokojach nauczycielskich znajdowały się dzienniki lekcyjne i dzienniki zajęć pozalekcyjnych Wymienione dzienniki były przekazywane uczniom w celu umieszczenia ich w pokojach nauczycielskich

Ocena wyników kontroli przeprowadzonych w szkołach W kilku szkołach nie zostały opracowane pisemne procedury dotyczące przekazywania do archiwum oraz wypożyczania z archiwum dokumentacji zawierającej dane osobowe uczniów, nauczycieli i pozostałych pracowników szkoły W niektórych gimnazjach nie zostały założone księgi arkuszy ocen, które powinny być ułożone w porządku alfabetycznym uczniów urodzonych w jednym roku, którzy ukończyli lub opuścili szkołę Dokumentacja dotycząca przebiegu nauczania zlikwidowanej szkoły podstawowej była przechowywana w pomieszczeniach gimnazjum niezgodnie z przepisami ustawy o systemie oświaty – powinna być przekazana w terminie jednego miesiąca od dnia zakończenia likwidacji organowi sprawującymi nadzór pedagogiczny

Ocena wyników kontroli przeprowadzonych w szkołach Niedozwoloną praktyką jest przechowywanie dokumentacji archiwalnej w innych pomieszczeniach niż archiwum zakładowe np. sekretariatach szkolnych czy gabinetach lekarskich Przechowywanie dokumentacji zawierającej dane osobowe dzieci, które nie zostały przyjęte do szkoły, mimo braku podstaw do dalszego ich przechowywania tj. po osiągnięciu celu dla którego były zbierane – rekrutacji dzieci do szkoły Przechowywanie dzienników lekcyjnych, dzienników zajęć pozalekcyjnych, dzienników zajęć dydaktyczno- wyrównawczych i specjalistycznych, dzienników zajęć świetlicowych, dokumentacji sporządzonej przez pedagoga szkolnego i innej dokumentacji zawierającej dane osobowe na otwartych regałach w sekretariatach szkolnych, jako w pomieszczeniach ogólnie dostępnych

Ocena wyników kontroli przeprowadzonych w szkołach Nieprawidłowości stwierdzono także w dokumentacji zawartej w aktach osobowych pracowników szkół np.: Szkoły jako pracodawcy, pozyskują szerszy zakres danych pracowników niż wynikający z przepisów kodeksu pracy np. nazwisko rodowe matki, czy danych o karalności pracowników obsługi. Obowiązek podania takich danych nie wynika bowiem z odrębnych przepisów Szkoły posiadające takie dane są zobowiązane je usunąć, aby nie naruszać przepisów o ochronie danych osobowych.

Ocena wyników kontroli przeprowadzonych w szkołach Wyniki przeprowadzonych kontroli wskazują, iż skontrolowane przez GIODO szkoły realizują obowiązki wynikające z przepisów o ochronie danych osobowych na poziomie niezadawalającym

Bruce Schneier, specjalista ds Bruce Schneier, specjalista ds. bezpieczeństwa teleinformatycznego, ostrzega, że jeśli teraz nie zaczniemy dbać o ochronę naszej prywatności w cyfrowym świecie, wkrótce może być już za późno.

Ogólnopolski Program Edukacyjny „Twoje dane-twoja sprawa” Część II. „TWOJE DANE-TWOJA SPRAWA” – inicjatywa skierowana do uczniów i nauczycieli Ogólnopolski Program Edukacyjny „Twoje dane-twoja sprawa” Skuteczna ochrona danych osobowych - inicjatywa edukacyjna skierowana do uczniów i nauczycieli V edycja na rok szkolny 2014/2015

Celem Programu jest poszerzenie oferty edukacyjnej placówek doskonalenia zawodowego nauczycieli, szkół podstawowych oraz gimnazjów o treści związane z ochroną danych osobowych i prawem do prywatności. 1. przeszkolenie i wyposażenie kadry pedagogicznej w pakiety edukacyjne zawierające m.in. materiały informacyjne dotyczące zasad ochrony danych osobowych, scenariusze lekcji, prezentacje multimedialne i pomoce dydaktyczne, służące realizacji Programu 2. przygotowanie nauczycieli do kształtowania świadomych i odpowiedzialnych postaw wśród uczniów i uczennic 3. prowadzenie w szkołach zajęć związanych z tematyką ochrony danych osobowych m.in. na lekcji wychowawczej, historii, lekcji języka angielskiego, informatyce, wos 4. prowadzenie lekcji otwartych przez palcówki doskonalenia zawodowego nauczycieli

Bądź czujny. Przemyśl każdy swój ruch w sieci. Pilnuj swego Bądź czujny! Przemyśl każdy swój ruch w sieci! Pilnuj swego ... skarbu drogiego!

Dziękuję za uwagę Magdalena Celeban magda_celeban@op.pl tel. 600 299 249