Ochrona danych osobowych w placówce oświatowej
Wprowadzenie Ochrona danych osobowych – wymóg czy konieczność? Przepisy prawa, w tym również te, które regulują działalność szkół (obowiązki, odpowiedzialność) Dane osobowe jako dobra osobiste – możliwość dochodzenia roszczeń np. przez rodziców ucznia Różne kategorie danych osobowych w szkołach, w tym również dane wrażliwe, podlegające surowszym zasadom dotyczącym ich przetwarzania Zagrożenia (handel danymi, zagrożenie prywatności, wyłudzenia, podszywanie się pod inne osoby, niebezpieczeństwa z Internetu)
Wprowadzenie dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań
Wprowadzenie Przetwarzanie przez pracodawcę danych osobowych pracowników, które wynikają ze stosunku pracy jest dopuszczalne i nie stanowi naruszenia przepisów o ochronie danych osobowych, o ile zakres przetwarzanych danych nie wkracza w sferę prywatności pracownika Takie informacje jak: imię, nazwisko, stanowisko służbowe, służbowy numer telefonu oraz adres e-mail są bezpośrednio powiązane z wykonywaniem obowiązków służbowych i jako takie mogą być wykorzystywane przez pracodawcę bez zgody pracownika np. do umieszczenia na stronie www, w umowach z podwykonawcami, na wizytówkach etc.
Wprowadzenie przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (istnienie cechy albo cech pozwalających na odnalezienie informacji bez potrzeby przeglądania całego zestawu)
Wprowadzenie Przykłady zbiorów danych przetwarzanych przez szkoły: Księga Ewidencji Dzieci w Szkole Podstawowej (coroczna adnotacja o spełnianiu przez dziecko obowiązku szkolnego) Zbiór uczniów szkoły (dane w różnych miejscach: karta zapisu dziecka do szkoły, Księga Ewidencji Uczniów, dziennik lekcyjny, Arkusz Ocen, ewidencja legitymacji szkolnych, dane przetwarzane przez pedagoga) Zbiór danych osób korzystających z biblioteki szkolnej Zbiór ewidencja wejść do placówki Zbiór danych rodziców/opiekunów prawnych uczniów
Wprowadzenie Zbiór danych kadrowo – płacowych Zbiór kandydatów do pracy Zbiór skarg i wniosków Zbiór rejestr korespondencji Zbiór byłych pracowników – emerytów Zbiór osób z wyrokiem, które odpracowują wyrok Zbiór osób wypożyczających sale w szkole
Wprowadzenie administrator danych – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych (szkoła) administrator bezpieczeństwa informacji (ABI) – osoba nadzorująca przestrzeganie zasad ochrony danych osobowych, w tym w szczególności stosowania odpowiednich środków technicznych i organizacyjnych
Wprowadzenie Szkoła jako specyficzny administrator danych: Szkoła i organ prowadzący (samorząd) Stosowanie w pierwszej kolejności przepisów „branżowych”, a dopiero w zakresie nieuregulowanym tymi przepisami, stosujemy postanowienia ustawy o ochronie danych osobowych Dostęp do danych osobowych w szkołach posiada wielu pracowników: dyrektorzy, pracownicy sekretariatów, nauczyciele, lekarz, pielęgniarka, pedagog, księgowa, kadrowa, a do pomieszczeń, gdzie znajdują się dane mogą mieć dostęp jeszcze inni: osoby sprzątające, ochrona
Wprowadzenie Przepisy ogólne: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) Akty wykonawcze do UODO: Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji w GIODO
Wprowadzenie Zakres zastosowania UODO: Ochrona danych osobowych osób fizycznych, a zatem danych należących do: uczniów, rodziców, opiekunów prawnych, ale także pracowników szkół, kandydatów do pracy w szkole Nie ma znaczenia forma przetwarzania danych: elektronicznie czy tradycyjnie (papierowo) Obowiązki nakładane przez UODO są skierowane np. do: szkół (publiczne i prywatne), jednostek samorządu terytorialnego (organy prowadzące), kuratoria oświaty
Wprowadzenie UODO nie stosuje się do: osób fizycznych, które przetwarzają dane tylko w celach osobistych lub domowych, podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych osób nieżyjących – ze względu na ochronę powszechnych dóbr osobistych (kult pamięci osoby zmarłej)
Wprowadzenie UODO nie stosuje się do: informacji o przedsiębiorcach w zakresie, w jakim identyfikują podmiot w obrocie gospodarczym i ściśle wiążą się z prowadzeniem działalności gospodarczej, osób fizycznych, osób prawnych i jednostek organizacyjnych niebędących osobami prawnymi, jeżeli NIE przetwarzają d.o. w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, przetwarzania danych osobowych w zbiorach doraźnych (technicznych, szkoleniowych, w związku z dydaktyką w szkołach wyższych), które po wykorzystaniu podlegają usunięciu /anonimizacji
Wprowadzenie UODO nie stosuje się do: działalności dziennikarskiej, literackiej lub artystycznej, o ile nie narusza się istotnie praw i wolności osoby, której dane dotyczą, umowy międzynarodowej, której stroną jest RP – jeżeli ta umowa stanowi inaczej, istnienia odrębnych ustaw, które odnoszą się do przetwarzania danych, a przewidują dalej idącą ich ochronę, niż wynika to z uodo (stosuje się wówczas przepisy tych ustaw).
Wprowadzenie Najważniejsze przepisy szczególne: Ustawa z dnia 7 września 1991 r. o systemie oświaty Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji Ustawa z dnia 26 października 1982 r. o postępowaniu w sprawach nieletnich Ustawa z dnia 26 czerwca 1974 r. kodeks pracy
Generalny Inspektor Ochrony Danych Osobowych Organ administracji publicznej z siedzibą w Warszawie (będą oddziały zamiejscowe) Działa na wniosek lub z urzędu Organ dwuinstancyjny (możliwość złożenia wniosku o ponowne rozpatrzenie sprawy)
Generalny Inspektor Ochrony Danych Osobowych Zadania: Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych
Generalny Inspektor Ochrony Danych Osobowych Stosowanie środków egzekucyjnych mających na celu zapewnienie wykonania obowiązków wynikających z decyzji GIODO Rejestracja zbiorów danych Opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych Edukacja (wystąpienia do organów etc.)
Generalny Inspektor Ochrony Danych Osobowych Uprawnienia kontrolne Wstęp do pomieszczenia, w którym zlokalizowany jest zbiór danych Żądanie złożenia pisemnych lub ustnych wyjaśnień oraz wzywanie i przesłuchiwanie osoby w zakresie niezbędnym do ustalenia stanu faktycznego
Generalny Inspektor Ochrony Danych Osobowych Wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii Przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych
Generalny Inspektor Ochrony Danych Osobowych Zakończenie kontroli GIODO: wydanie decyzji administracyjnej (brak uchybień, uchybienia np. nakaz zastosowania dodatkowych zabezpieczeń, usunięcie danych) skierowanie wniosku o wszczęcie postępowania dyscyplinarnego zawiadomienie prokuratury o podejrzeniu popełnienia przestępstwa
Odpowiedzialność administratora danych i jego pracowników Odpowiedzialność administracyjna (np. usunięcie uchybień, usunięcie danych osobowych) Odpowiedzialność cywilnoprawna (dane osobowe jako dobro osobiste, roszczenia sądowe – zadośćuczynienia za doznaną krzywdę wyrządzoną wskutek udostępnienia danych) Odpowiedzialność według prawa pracy (postępowanie w celu nałożenia kary porządkowej, postępowanie zmierzające do rozwiązania stosunku pracy) Odpowiedzialność karna Wizerunek szkoły
Przepisy karne Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Przepisy karne Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2
Obowiązki nałożone na szkołę Dołożenie szczególnej staranności przy przetwarzaniu danych osobowych Respektowanie praw osób, których dane dotyczą Zabezpieczenie danych osobowych Zgłoszenie zbioru (zbiorów) do GIODO (jeśli nie jest zwolniony z rejestracji) Kontrola przetwarzania i ochrony danych Obowiązki związane z powierzeniem przetwarzania danych
Pozyskiwanie danych „zwykłych” Przetwarzanie danych „zwykłych” jest dopuszczalne tylko wtedy, gdy występuje jedna z poniższych podstaw prawnych: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych np. zgoda na przetwarzanie wizerunku ucznia jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą
Pozyskiwanie danych „zwykłych” jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego jest to niezbędne dla wypełnienia prawnie usprawiedliwio- nych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą np. zapewnienie bezpieczeństwa szkoły (np. ewidencja osób, które wchodzą i wychodzą ze szkoły), zabezpieczenie roszczeń jest związane z ochroną żywotnych interesów osoby, której dane dotyczą, a brak możliwości uzyskania zgody na przetwarzanie, wtedy dane można przetwarzać do czasu aż uzyskanie zgody będzie możliwe.
Pozyskiwanie danych „zwykłych” Przykład zastosowania przepisu szczególnego w odniesieniu do szkoły: Do księgi uczniów wpisuje się imię (imiona) i nazwisko, datę i miejsce urodzenia, numer PESEL oraz adres zamieszkania ucznia, imiona i nazwiska rodziców (prawnych opiekunów) i adresy ich zamieszkania, a także datę przyjęcia ucznia do szkoły oraz klasę, do której ucznia przyjęto. W księdze uczniów odnotowuje się datę ukończenia szkoły albo datę i przyczynę opuszczenia szkoły przez ucznia
Pozyskiwanie danych „zwykłych” Do księgę ewidencji dzieci podlegających obowiązkowi szkolnemu wpisuje się - według roku urodzenia, imię (imiona) i nazwisko, datę i miejsce urodzenia, numer PESEL oraz adres zamieszkania dziecka, a także imiona i nazwiska rodziców (prawnych opiekunów) oraz adresy ich zamieszkania Do dziennika zajęć w świetlicy wpisuje się plan pracy świetlicy na dany rok szkolny, imiona i nazwiska uczniów korzystających ze świetlicy oraz klasę, do której uczęszczają, a także tematy przeprowadzonych zajęć, oraz odnotowuje się obecność uczniów na poszczególnych godzinach zajęć
Pozyskiwanie danych „zwykłych” Do dziennika lekcyjnego wpisuje się w porządku alfabetycznym lub innym ustalonym przez dyrektora szkoły nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców (prawnych opiekunów) i adresy ich zamieszkania, tygodniowy plan zajęć edukacyjnych, a w szkołach dla dorosłych prowadzących kształcenie w formie zaocznej — semestralny plan zajęć edukacyjnych, a także imiona i nazwiska nauczycieli prowadzących poszczególne zajęcia edukacyjne
Pozyskiwanie danych wrażliwych Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
Pozyskiwanie danych wrażliwych Przetwarzanie danych wrażliwych jest dopuszczalne tylko wtedy, gdy występuje jedna z poniższych podstaw prawnych: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą (np. Karta Nauczyciela) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora
Pozyskiwanie danych wrażliwych przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych
Pozyskiwanie danych wrażliwych przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym
Pozyskiwanie danych wrażliwych jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych.
Zasady przetwarzania danych Zasada celowości: dane muszą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami Zasada adekwatności: dane muszą być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane Zasada czasowości: dane muszą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania
Obowiązek informacyjny W przypadku zbierania danych osobowych od osoby, której one dotyczą, ADO jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych prawie dostępu do treści swoich danych oraz ich poprawiania dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej Dla celów dowodowych warto zawrzeć te informacje na piśmie.
Obowiązek informacyjny Kiedy stosujemy (przykłady)? Karta zgłoszenia dziecka do szkoły Formularz zbierania danych dodatkowych Ogłoszenia o pracę Zapisy w umowie o pracę/oświadczeniach będących jej załącznikami Inne formularze służące do zbierania danych osobowych np. dzieci, rodziców Wyjątek: osoba fizyczna posiada informacje składające się na obowiązek informacyjny
Zabezpieczenie danych osobowych Administrator danych (szkoła) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
Środki organizacyjne Zapewnienie zabezpieczenia obszaru przetwarzania danych przed dostępem osób nieuprawnionych na czas nieobecności w nim osoby upoważnionej Zapewnienie, by osoby nieuprawnione przebywały w obszarze przetwarzania danych na podstawie zgody administratora danych lub w obecności osoby upoważnionej Zwiększanie świadomości personelu szkoły nt. ochrony danych osobowych
Środki organizacyjne Prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki techniczne i organizacyjne mające na celu ich zabezpieczenie Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych Upoważnienie osób, które będą przetwarzały dane osobowe Prowadzenie ewidencji osób, które zostały upoważnione do przetwarzania danych osobowych
Środki organizacyjne Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane Zobowiązanie osób, które zostały dopuszczone do przetwarzania danych do zachowania ich w tajemnicy; obowiązek ten rozciąga się także na informacje o sposobach ich zabezpieczenia Procedury dotyczące wynoszenia dokumentów zawierających dane Procedury dotyczące używania laptopów
Środki techniczne Poziom podstawowy - w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną Poziom podwyższony - w systemie informatycznym przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną Poziom wysoki - przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną
Środki techniczne Odrębne identyfikatory dla systemów informatycznych użytkowanych przez 2 lub więcej użytkowników Konieczność uwierzytelnienia do systemu informatycznego Zabezpieczenie systemu informatycznego przed działalnością szkodliwego oprogramowania Zabezpieczenie systemu informatycznego przed awariami w sieci zasilającej Zakaz przekazywania identyfikatora użytkownika, który utracił uprawnienia innemu użytkownikowi Hasła (poziom podstawowy): 6 znaków, zmiana co 30 dni
Środki techniczne Odrębne identyfikatory dla systemów informatycznych użytkowanych przez 2 lub więcej użytkowników Hasła (poziom podwyższony i wysoki): 8 znaków zawierających wielkie i małe litery, znaki specjalne lub cyfry; zmiana hasła co 30 dni Wykonywanie kopii zapasowych, bezpieczne ich przechowywanie i niszczenie po ustaniu przydatności Stosowanie kryptograficznych środków ochrony na komputerach przenośnych służących do przetwarzania danych Usuwanie danych osobowych (trwałe) z nośników przeznaczonych do naprawy/likwidacji
Środki techniczne Monitorowanie wdrożonych zabezpieczeń Stosowanie środków bezpieczeństwa (fizycznych lub logicznych) w celu ochrony przed zagrożeniami pochodzącymi z sieci publicznej (zabezpieczenie przed nieuprawnionym dostępem) Zabezpieczenia logiczne muszą zapewnić kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną Stosowanie środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej
Obowiązki poszczególnych pracowników Dyrektor: Wyznaczenie administratora bezpieczeństwa informacji Prowadzenie dokumentacji ochrony danych osobowych Upoważnienie pracowników do przetwarzania danych Prowadzenie ewidencji osób upoważnionych do przetwarzania danych Zapewnienie niezbędnych (adekwatnych) środków technicznych i organizacyjnych służących do zabezpieczenia danych osobowych Dbanie o podnoszenie świadomości wśród pracowników Rejestracja zbiorów w GIODO
Obowiązki poszczególnych pracowników Nauczyciele: Wynoszenie dokumentów/nośników tylko za zgodą administratora danych i pod warunkiem ich zabezpieczenia Dbanie o bezpieczeństwo stanowiska pracy (komputer) np. stosowanie trudnych haseł i ich regularne zmienianie, poufność haseł, zakaz instalowania nielegalnego/podejrzanego oprogramowania, konieczność wylogowywania się/aktywowania wygaszaczy Przesyłanie plików tylko w sposób bezpieczny np. hasłowanie plików, szyfrowane połączenia Obowiązek zachowania danych osobowych w tajemnicy
Obowiązki poszczególnych pracowników Wykonywanie kopii zapasowych dla plików zawierających dane osobowe, zapewnienie bezpieczeństwa kopii Zakaz dezaktywowania programów antywirusowych Zakaz wykorzystywania danych osobowych zebranych przez szkołę do celów prywatnych Niszczenie starych/niepotrzebnych dokumentów w niszczarkach.
Obowiązki poszczególnych pracowników Pracownicy sekretariatu: Stosowanie zasady „czystego biurka” np. po wykorzystaniu do bieżącej pracy teczki z danymi, schowanie jej do zamykanej szafy Szczególna uwaga na pojedyncze dokumenty, które mogą zawierać dane osobowe np. faksy, nadesłane CV, korespondencja od rodziców, skargi etc. Odpowiednie ustawienie monitorów – w sekretariacie często przebywają osoby nieupoważnione do przetwarzania danych Zakaz udostępniania danych przez telefon
Obowiązki poszczególnych pracowników Kadry/księgowość: Stosowanie zasady „czystego biurka” np. po wykorzystaniu do bieżącej pracy teczki z danymi, schowanie jej do zamykanej szafy Szczególna uwaga na pojedyncze dokumenty, które mogą zawierać dane osobowe np. nadesłane CV, umowy o pracę, kwestionariusze osobowe Zakaz udostępniania danych przez telefon Szczególna ostrożność przy przetwarzaniu informacji dotyczących wynagrodzeń np. paski wynagrodzeń
Obowiązki poszczególnych pracowników Osoby sprzątające/ochrona: Konieczność uzyskania zgody na przebywanie w obszarze przetwarzania danych osobowych Bezwzględny zakaz przetwarzania danych osobowych Zakaz wpuszczania osób postronnych do newralgicznych pomieszczeń np. serwerownia, sala komputerowa Zakaz przekazywania informacji na temat pracowników szkoły Prowadzenie ewidencji wydawania kluczy do newralgicznych pomieszczeń np. serwerowni
Obowiązki poszczególnych pracowników Pielęgniarka/pedagog/psycholog: Zakaz udostępniania danych wrażliwych, chyba że wynika to z obowiązku nałożonego przepisami prawa Szczególna dbałość przy przetwarzaniu danych wrażliwych i ich przechowywaniu. Pielęgniarka może również być pracownikiem np. lokalnego ZOZ, wówczas to ten ZOZ jest administratorem danych
Udostępnianie danych osobowych Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione Nie stanowi udostępniania danych osobowych i nie podlega ograniczeniu na gruncie UODO przekazywanie danych osobowych w ramach struktury organizacyjnej danego administratora np. pomiędzy jego pracownikami.
Udostępnianie danych osobowych Zasady udostępniania danych po wejściu w życie nowelizacji: Podmiot, któremu administrator udostępnił dane osobowe, będzie mógł je przetwarzać, jeśli będzie posiadał podstawę prawną, np. na podstawie zgody osoby, której dane dotyczą; dla wypełnienia prawnie usprawiedliwionych celów przez siebie realizowanych, w celu realizacji umowy, której stroną jest osoba, której dane dotyczą Administrator danych samodzielnie rozważa za i przeciw i podejmuje ryzyko udostępnienia danych innemu podmiotowi.
Udostępnianie danych osobowych Przykłady udostępniania danych: Udostępnianie danych uczniów innym uczniom np. w celu wysłania kartek świątecznych – tylko pod warunkiem uzyskania zgody (w przypadku niepełnoletności – zgoda rodzica) Udostępnianie danych firmom ubezpieczeniowym – firma taka staje się administratorem danych i może zbierać tylko te dane, na które zezwala jej przepis szczególny oraz te, na które osoba fizyczna wyrazi zgodę Udostępnianie rodzicom danych z dziennika szkolnego – przy zachowaniu poufności tzn. udostępniamy tylko te dane, które dotyczą ich dziecka
Udostępnianie danych osobowych Udostępnianie list z wynikami w nauce/uzyskanymi stopniami – kodowanie albo udostępnianie przy zachowaniu poufności innych danych Udostępnianie danych osobowych policji, straży miejskiej – na podstawie pisemnego upoważnienia z podaniem podstawy prawnej, a jeśli osobiście to także obowiązek okazania legitymacji
Powierzenie przetwarzania danych osobowych Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze umowy zawartej na piśmie. Podmiot, któremu powierzono dane może przetwarzać je wyłącznie w zakresie i celu przewidzianym w umowie. Podmiot, któremu powierzono dane jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
Rejestracja zbiorów danych osobowych Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Obowiązek zgłoszenia na specjalnym wzorze wniosku. Obowiązek aktualizacji informacji podanych w zgłoszeniu w ciągu 30 dni od zajścia zmiany lub jeśli dotyczy danych wrażliwych – obowiązek zgłoszenia przed dokonaniem zmiany w zbiorze.
Rejestracja zbiorów danych osobowych Niektóre zbiory są zwolnione z tego obowiązku, np. (wybrane przykłady): informacje niejawne, dane uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy, dane przetwarzane na potrzeby postępowania sądowego, dane przetwarzane w związku z zatrudnieniem, świadczeniem usług na podstawie umów cywilnoprawnych, a także dotyczące osób zrzeszonych lub uczących się, dane osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
Rejestracja zbiorów danych osobowych Niektóre zbiory są zwolnione z tego obowiązku cd.: dane przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, dane powszechnie dostępne, dane osób pozbawionych wolności, dane przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego dane przetwarzane w zakresie drobnych bieżących spraw życia codziennego (np. księga wejść/wyjść).
Prawa osób fizycznych Prawo do informacji (m.in. czy zbiór istnieje, kiedy powstał, kto jest administratorem, jakie dane są przetwarzane (zakres), w jakim celu, jakie jest źródło pochodzenia, komu dane są udostępniane) Prawo weryfikowania poprawności danych (żądanie uzupełnienia, uaktualnienia, sprostowania danych) Prawo do czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane
Prawa osób fizycznych Prawo sprzeciwiania się przetwarzaniu danych osobowych oraz możliwość żądania ich usunięcia w określonych przypadkach (marketing oraz udostępnianie danych innym administratorom) Prawo do pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (w przypadku przetwarzania danych w celu wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych) Odwołanie zgody.
Prawa osób fizycznych Sprzeciw na przetwarzanie danych osobowych Dotyczy sprzeciwu na marketing i przekazywania danych do innych administratorów danych W razie wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne ADO może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
Prawa osób fizycznych Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić informacji: czy zbiór istnieje, kiedy powstał, kto jest administratorem, jakie dane są przetwarzane (zakres), w jakim celu, jakie jest źródło pochodzenia, komu dane są udostępniane) Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa powyżej nie częściej niż raz na 6 miesięcy
Prawa osób fizycznych Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem.
Prawa osób fizycznych Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, jeżeli spowodowałoby to: ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Zmiany w prawie Dyrektorzy szkół będą odpowiedzialni za wprowadzenie osobistych danych o uczniach do nowego systemu informacji oświatowych. Ich wyciek będzie traktowany jak wykroczenie zagrożone karą grzywny.
Zmiany w prawie W Sejmie odbyło się II czytanie rządowej ustawy o Systemie Informacji Oświatowej (SIO). Ma on zastąpić obowiązujący od pięciu lat system, w którym znajdują się tylko zbiorcze dane o uczniach. Zawarte w nim informacje nie są spersonalizowane i ograniczają się do liczby uczących się w szkołach z podziałem na klasy i wskazaniem tych, którzy uczą się języków obcych. Dostęp do informacji o uczniach znajdujących się w nowym SIO będzie miał dyrektor szkoły i okręgowe komisje edukacyjne. Dane będą zbierane przez dyrektorów i przesyłane w formie elektronicznej bezpośrednio do MEN. Nowa ustawa, z pewnymi wyjątkami, ma wejść w życie 30 kwietnia 2012 r.
Dziękuję za uwagę www.bezpieczna-szkola.eu