Ochrona danych osobowych

Slides:



Advertisements
Podobne prezentacje
Ochrona danych osobowych w Urzędzie Miasta
Advertisements

Ochrona danych osobowych
Wyciąg z dokumentacji związanej z ochroną danych osobowych uczestników projektu Akademia uczniowska przetwarzanych w ramach zbioru PEFS 2007 i obowiązującej.
Katowice, dnia 2 października 2012 roku
przeprowadzonych w przedszkolach województwa wielkopolskiego
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Polityka społeczna m.st. Warszawy Biuro Polityki Społecznej Urzędu m.st. Warszawy 2011r.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
OCHRONA DANYCH OSOBOWYCH
Ochrona danych osobowych
st. wiz. Czesław Stawikowski Kuratorium Oświaty w Bydgoszczy
Dokonać kontroli zapewnienia bezpiecznych i higienicznych warunków korzystania z obiektów należących do szkoły, w tym bezpiecznych i higienicznych warunków.
Aktualne zagadnienia prawne.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
Szkolenie w zakresie ochrony danych osobowych
OCHRONA DANYCH OSOBOWYCH -
Środki bezpieczeństwa
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w systemie prawa polskiego (1)
Rejestracja Zbioru Danych w GIODO.
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
PAŃSTWOWA INSPEKCJA SANITARNA
Ochrona danych osobowych w ngo
Ochrona danych osobowych
Ochrona danych osobowych
Rozporządzenie MEN z dnia 18 września 2008r
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Ochrona danych osobowych: wybrane aspekty
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Pracownicze dane osobowe
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w administracji publicznej
OCHRONA DANYCH OSOBOWYCH W STOSUNKACH PRACY
Ochrona danych osobowych
Zmiana imienia i nazwiska
Szkolenie Ochrona danych osobowych
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Edukacja dziecka cudzoziemskiego a legalny pobyt w Polsce
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
IV edycja programu: „Twoje dane – Twoja sprawa” Częstochowa, dn. 30 października 2013 r.
Dr Jacek Borowicz. PRZEWTARZANIE DANYCH CHRONIONYCH W RAMACH STOSUNKU PRACY  Tajemnica pracodawcy  Tajemnica przedsiębiorcy  Informacje niejawne 
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Ochrona danych osobowych
OCHRONA DANYCH OSOBOWYCH TWOJE DANE – TWOJA SPRAWA
XIV Samorządowe Forum Kapitału i Finansów
Pracownicze dane osobowe
Zasady zgłaszania innowacji pedagogicznej w kontekście
Udostępnianie dokumentacji w archiwum wyodrębNionym – do celów służbowych i naukowo-badawczych mgr Klaudia Banach.
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
O ochronie danych osobowych
O ochronie danych osobowych
ROZPORZĄDZENIE MINISTRA EDUKACJI NARODOWEJ Z DNIA 29 SIERPNIA 2014 R
Ochrona danych osobowych
Ochrona danych osobowych
O ochronie danych osobowych
OCHRONA DANYCH OSOBOWYCH
OCHRONA DANYCH OSOBOWYCH
Odpowiedzialność za naruszenie przepisów o ochronie informacji niejawnych Ustawa o ochronie informacji niejawnych, mimo uregulowania wielu najistotniejszych.
KTO CHCE TWOJE DANE OSOBOWE?
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
Projektowane zmiany k.p. w zakresie przetwarzania danych osobowych
Ochrona baz danych.
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
„Twoje dane –Twoja sprawa. Skuteczna ochrona danych osobowych.”
Zapis prezentacji:

Ochrona danych osobowych w placówce oświatowej

dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań

Przetwarzanie przez pracodawcę danych osobowych pracowników, które wynikają ze stosunku pracy jest dopuszczalne i nie stanowi naruszenia przepisów o ochronie danych osobowych, o ile zakres przetwarzanych danych nie wkracza w sferę prywatności pracownika Takie informacje jak: imię, nazwisko, stanowisko służbowe, służbowy numer telefonu oraz adres e-mail są bezpośrednio powiązane z wykonywaniem obowiązków służbowych i jako takie mogą być wykorzystywane przez pracodawcę bez zgody pracownika np. do umieszczenia na stronie www, w umowach z podwykonawcami, na wizytówkach etc.

Przykłady zbiorów danych przetwarzanych przez szkoły: Księga Ewidencji Dzieci w Szkole Podstawowej (coroczna adnotacja o spełnianiu przez dziecko obowiązku szkolnego) Zbiór uczniów szkoły (dane w różnych miejscach: karta zapisu dziecka do szkoły, Księga Ewidencji Uczniów, dziennik lekcyjny, Arkusz Ocen, ewidencja legitymacji szkolnych, dane przetwarzane przez pedagoga) Zbiór danych osób korzystających z biblioteki szkolnej Zbiór ewidencja wejść do placówki Zbiór danych rodziców/opiekunów prawnych uczniów

Zbiór danych kadrowo – płacowych Zbiór kandydatów do pracy Zbiór skarg i wniosków Zbiór rejestr korespondencji Zbiór byłych pracowników – emerytów Zbiór osób z wyrokiem, które odpracowują wyrok Zbiór osób wypożyczających sale w szkole

Przepisy ogólne: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) Akty wykonawcze do UODO: Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji w GIODO

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) Zakres zastosowania UODO: Ochrona danych osobowych osób fizycznych, a zatem danych należących do: uczniów, rodziców, opiekunów prawnych, ale także pracowników szkół, kandydatów do pracy w szkole Nie ma znaczenia forma przetwarzania danych: elektronicznie czy tradycyjnie (papierowo) Obowiązki nakładane przez UODO są skierowane np. do: szkół (publiczne i prywatne), jednostek samorządu terytorialnego (organy prowadzące), kuratoria oświaty

UODO nie stosuje się do: osób fizycznych, które przetwarzają dane tylko w celach osobistych lub domowych, podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych osób nieżyjących – ze względu na ochronę powszechnych dóbr osobistych (kult pamięci osoby zmarłej)

Najważniejsze przepisy szczególne: Ustawa z dnia 7 września 1991 r. o systemie oświaty Ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji Ustawa z dnia 26 października 1982 r. o postępowaniu w sprawach nieletnich Ustawa z dnia 26 czerwca 1974 r. kodeks pracy

Generalny Inspektor Ochrony Danych Osobowych Organ administracji publicznej z siedzibą w Warszawie (będą oddziały zamiejscowe) Działa na wniosek lub z urzędu Organ dwuinstancyjny (możliwość złożenia wniosku o ponowne rozpatrzenie sprawy)

Generalny Inspektor Ochrony Danych Osobowych Zadania: Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych

Generalny Inspektor Ochrony Danych Osobowych Stosowanie środków egzekucyjnych mających na celu zapewnienie wykonania obowiązków wynikających z decyzji GIODO Rejestracja zbiorów danych Opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych Edukacja (wystąpienia do organów etc.)

Odpowiedzialność administratora danych i jego pracowników Odpowiedzialność administracyjna (np. usunięcie uchybień, usunięcie danych osobowych) Odpowiedzialność cywilnoprawna (dane osobowe jako dobro osobiste, roszczenia sądowe – zadośćuczynienia za doznaną krzywdę wyrządzoną wskutek udostępnienia danych) Odpowiedzialność według prawa pracy (postępowanie w celu nałożenia kary porządkowej, postępowanie zmierzające do rozwiązania stosunku pracy) Odpowiedzialność karna Wizerunek szkoły

Przepisy karne Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Przepisy karne Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2

Obowiązki nałożone na szkołę Dołożenie szczególnej staranności przy przetwarzaniu danych osobowych Respektowanie praw osób, których dane dotyczą Zabezpieczenie danych osobowych Zgłoszenie zbioru (zbiorów) do GIODO (jeśli nie jest zwolniony z rejestracji) Kontrola przetwarzania i ochrony danych Obowiązki związane z powierzeniem przetwarzania danych

Pozyskiwanie danych „zwykłych” Przetwarzanie danych „zwykłych” jest dopuszczalne tylko wtedy, gdy występuje jedna z poniższych podstaw prawnych: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych np. zgoda na przetwarzanie wizerunku ucznia jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

Pozyskiwanie danych „zwykłych” jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego jest to niezbędne dla wypełnienia prawnie usprawiedliwio- nych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą np. zapewnienie bezpieczeństwa szkoły (np. ewidencja osób, które wchodzą i wychodzą ze szkoły), zabezpieczenie roszczeń jest związane z ochroną żywotnych interesów osoby, której dane dotyczą, a brak możliwości uzyskania zgody na przetwarzanie, wtedy dane można przetwarzać do czasu aż uzyskanie zgody będzie możliwe.

Pozyskiwanie danych „zwykłych” Przykład zastosowania przepisu szczególnego w odniesieniu do szkoły: Do księgi uczniów wpisuje się imię (imiona) i nazwisko, datę i miejsce urodzenia, numer PESEL oraz adres zamieszkania ucznia, imiona i nazwiska rodziców (prawnych opiekunów) i adresy ich zamieszkania, a także datę przyjęcia ucznia do szkoły oraz klasę, do której ucznia przyjęto. W księdze uczniów odnotowuje się datę ukończenia szkoły albo datę i przyczynę opuszczenia szkoły przez ucznia

Pozyskiwanie danych „zwykłych” Do księgi ewidencji dzieci podlegających obowiązkowi szkolnemu wpisuje się - według roku urodzenia, imię (imiona) i nazwisko, datę i miejsce urodzenia, numer PESEL oraz adres zamieszkania dziecka, a także imiona i nazwiska rodziców (prawnych opiekunów) oraz adresy ich zamieszkania Do dziennika zajęć w świetlicy wpisuje się plan pracy świetlicy na dany rok szkolny, imiona i nazwiska uczniów korzystających ze świetlicy oraz klasę, do której uczęszczają, a także tematy przeprowadzonych zajęć, oraz odnotowuje się obecność uczniów na poszczególnych godzinach zajęć

Pozyskiwanie danych „zwykłych” Do dziennika lekcyjnego wpisuje się w porządku alfabetycznym lub innym ustalonym przez dyrektora szkoły nazwiska i imiona uczniów, daty i miejsca urodzenia oraz adresy ich zamieszkania, imiona i nazwiska rodziców (prawnych opiekunów) i adresy ich zamieszkania, tygodniowy plan zajęć edukacyjnych, a w szkołach dla dorosłych prowadzących kształcenie w formie zaocznej — semestralny plan zajęć edukacyjnych, a także imiona i nazwiska nauczycieli prowadzących poszczególne zajęcia edukacyjne

Pozyskiwanie danych wrażliwych Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

Pozyskiwanie danych wrażliwych Przetwarzanie danych wrażliwych jest dopuszczalne tylko wtedy, gdy występuje jedna z poniższych podstaw prawnych: osoba, której dane dotyczą, wyrazi na to zgodę na piśmie przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą (np. Karta Nauczyciela) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora

Pozyskiwanie danych wrażliwych przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych

Pozyskiwanie danych wrażliwych przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym

Pozyskiwanie danych wrażliwych jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych.

Zasady przetwarzania danych Zasada celowości: dane muszą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami Zasada adekwatności: dane muszą być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane Zasada czasowości: dane muszą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania

Obowiązek informacyjny W przypadku zbierania danych osobowych od osoby, której one dotyczą, ADO jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych prawie dostępu do treści swoich danych oraz ich poprawiania dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej Dla celów dowodowych warto zawrzeć te informacje na piśmie.

Obowiązek informacyjny Kiedy stosujemy (przykłady)? Karta zgłoszenia dziecka do szkoły Formularz zbierania danych dodatkowych Ogłoszenia o pracę Zapisy w umowie o pracę/oświadczeniach będących jej załącznikami Inne formularze służące do zbierania danych osobowych np. dzieci, rodziców Wyjątek: osoba fizyczna posiada informacje składające się na obowiązek informacyjny

Zabezpieczenie danych osobowych Administrator danych (szkoła) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem

Środki organizacyjne Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane Zobowiązanie osób, które zostały dopuszczone do przetwarzania danych do zachowania ich w tajemnicy; obowiązek ten rozciąga się także na informacje o sposobach ich zabezpieczenia Procedury dotyczące wynoszenia dokumentów zawierających dane Procedury dotyczące używania laptopów

Środki techniczne Odrębne identyfikatory dla systemów informatycznych użytkowanych przez 2 lub więcej użytkowników Konieczność uwierzytelnienia do systemu informatycznego Zabezpieczenie systemu informatycznego przed działalnością szkodliwego oprogramowania Zabezpieczenie systemu informatycznego przed awariami w sieci zasilającej Zakaz przekazywania identyfikatora użytkownika, który utracił uprawnienia innemu użytkownikowi Hasła (poziom podstawowy): 6 znaków, zmiana co 30 dni

Środki techniczne Hasła (poziom podwyższony i wysoki): 8 znaków zawierających wielkie i małe litery, znaki specjalne lub cyfry; zmiana hasła co 30 dni Wykonywanie kopii zapasowych, bezpieczne ich przechowywanie i niszczenie po ustaniu przydatności Stosowanie kryptograficznych środków ochrony na komputerach przenośnych służących do przetwarzania danych Usuwanie danych osobowych (trwałe) z nośników przeznaczonych do naprawy/likwidacji

Obowiązki poszczególnych pracowników Dyrektor: Wyznaczenie administratora bezpieczeństwa informacji Prowadzenie dokumentacji ochrony danych osobowych Upoważnienie pracowników do przetwarzania danych Prowadzenie ewidencji osób upoważnionych do przetwarzania danych Zapewnienie niezbędnych (adekwatnych) środków technicznych i organizacyjnych służących do zabezpieczenia danych osobowych Dbanie o podnoszenie świadomości wśród pracowników Rejestracja zbiorów w GIODO

Obowiązki poszczególnych pracowników Nauczyciele: Wynoszenie dokumentów/nośników tylko za zgodą administratora danych i pod warunkiem ich zabezpieczenia Dbanie o bezpieczeństwo stanowiska pracy (komputer) np. stosowanie trudnych haseł i ich regularne zmienianie, poufność haseł, zakaz instalowania nielegalnego/podejrzanego oprogramowania, konieczność wylogowywania się/aktywowania wygaszaczy Przesyłanie plików tylko w sposób bezpieczny np. hasłowanie plików, szyfrowane połączenia Obowiązek zachowania danych osobowych w tajemnicy

Obowiązki poszczególnych pracowników Wykonywanie kopii zapasowych dla plików zawierających dane osobowe, zapewnienie bezpieczeństwa kopii Zakaz dezaktywowania programów antywirusowych Zakaz wykorzystywania danych osobowych zebranych przez szkołę do celów prywatnych Niszczenie starych/niepotrzebnych dokumentów w niszczarkach.

Obowiązki poszczególnych pracowników Pracownicy sekretariatu: Stosowanie zasady „czystego biurka” np. po wykorzystaniu do bieżącej pracy teczki z danymi, schowanie jej do zamykanej szafy Szczególna uwaga na pojedyncze dokumenty, które mogą zawierać dane osobowe np. faksy, nadesłane CV, korespondencja od rodziców, skargi etc. Odpowiednie ustawienie monitorów – w sekretariacie często przebywają osoby nieupoważnione do przetwarzania danych Zakaz udostępniania danych przez telefon

Obowiązki poszczególnych pracowników Kadry/księgowość: Stosowanie zasady „czystego biurka” np. po wykorzystaniu do bieżącej pracy teczki z danymi, schowanie jej do zamykanej szafy Szczególna uwaga na pojedyncze dokumenty, które mogą zawierać dane osobowe np. nadesłane CV, umowy o pracę, kwestionariusze osobowe Zakaz udostępniania danych przez telefon Szczególna ostrożność przy przetwarzaniu informacji dotyczących wynagrodzeń np. paski wynagrodzeń

Obowiązki poszczególnych pracowników Osoby sprzątające/ochrona: Konieczność uzyskania zgody na przebywanie w obszarze przetwarzania danych osobowych Bezwzględny zakaz przetwarzania danych osobowych Zakaz wpuszczania osób postronnych do newralgicznych pomieszczeń np. serwerownia, sala komputerowa Zakaz przekazywania informacji na temat pracowników szkoły Prowadzenie ewidencji wydawania kluczy do newralgicznych pomieszczeń np. serwerowni

Obowiązki poszczególnych pracowników Pielęgniarka/pedagog/psycholog: Zakaz udostępniania danych wrażliwych, chyba że wynika to z obowiązku nałożonego przepisami prawa Szczególna dbałość przy przetwarzaniu danych wrażliwych i ich przechowywaniu. Pielęgniarka może również być pracownikiem np. lokalnego ZOZ, wówczas to ten ZOZ jest administratorem danych

Udostępnianie danych osobowych Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione Nie stanowi udostępniania danych osobowych i nie podlega ograniczeniu na gruncie UODO przekazywanie danych osobowych w ramach struktury organizacyjnej danego administratora np. pomiędzy jego pracownikami.

Udostępnianie danych osobowych Przykłady udostępniania danych: Udostępnianie danych uczniów innym uczniom np. w celu wysłania kartek świątecznych – tylko pod warunkiem uzyskania zgody (w przypadku niepełnoletności – zgoda rodzica) Udostępnianie danych firmom ubezpieczeniowym – firma taka staje się administratorem danych i może zbierać tylko te dane, na które zezwala jej przepis szczególny oraz te, na które osoba fizyczna wyrazi zgodę Udostępnianie rodzicom danych z dziennika szkolnego – przy zachowaniu poufności tzn. udostępniamy tylko te dane, które dotyczą ich dziecka

Udostępnianie danych osobowych Udostępnianie list z wynikami w nauce/uzyskanymi stopniami – kodowanie albo udostępnianie przy zachowaniu poufności innych danych Udostępnianie danych osobowych policji, straży miejskiej – na podstawie pisemnego upoważnienia z podaniem podstawy prawnej, a jeśli osobiście to także obowiązek okazania legitymacji

Rejestracja zbiorów danych osobowych Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Obowiązek zgłoszenia na specjalnym wzorze wniosku. Obowiązek aktualizacji informacji podanych w zgłoszeniu w ciągu 30 dni od zajścia zmiany lub jeśli dotyczy danych wrażliwych – obowiązek zgłoszenia przed dokonaniem zmiany w zbiorze.

Prawa osób fizycznych Prawo do informacji (m.in. czy zbiór istnieje, kiedy powstał, kto jest administratorem, jakie dane są przetwarzane (zakres), w jakim celu, jakie jest źródło pochodzenia, komu dane są udostępniane) Prawo weryfikowania poprawności danych (żądanie uzupełnienia, uaktualnienia, sprostowania danych) Prawo do czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane

Prawa osób fizycznych Prawo sprzeciwiania się przetwarzaniu danych osobowych oraz możliwość żądania ich usunięcia w określonych przypadkach (marketing oraz udostępnianie danych innym administratorom) Prawo do pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (w przypadku przetwarzania danych w celu wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych) Odwołanie zgody.

Prawa osób fizycznych Sprzeciw na przetwarzanie danych osobowych Dotyczy sprzeciwu na marketing i przekazywania danych do innych administratorów danych W razie wniesienia sprzeciwu dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne ADO może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.

Prawa osób fizycznych Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić informacji: czy zbiór istnieje, kiedy powstał, kto jest administratorem, jakie dane są przetwarzane (zakres), w jakim celu, jakie jest źródło pochodzenia, komu dane są udostępniane) Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa powyżej nie częściej niż raz na 6 miesięcy

Prawa osób fizycznych Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem.

Prawa osób fizycznych Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, jeżeli spowodowałoby to: ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

Zmiany w prawie Dyrektorzy szkół będą odpowiedzialni za wprowadzenie osobistych danych o uczniach do nowego systemu informacji oświatowych. Ich wyciek będzie traktowany jak wykroczenie zagrożone karą grzywny.

Dziękuję za uwagę www.bezpieczna-szkola.eu