Przewodnik po ochronie danych osobowych

Przewodnik po ochronie danych osobowych. Vademecum dyrektora i nauczyciela placówki oświatowej. Dariusz Skrzyński Prawnik, specjalista z zakresu praw...
Author: Michalina Murawska
3 downloads 1 Views 851KB Size
Report
Download PDF
Przewodnik po ochronie danych osobowych. Vademecum dyrektora i nauczyciela placówki oświatowej.

Dariusz Skrzyński Prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego, project manager projektów oświatowych realizowanych z funduszy UE, absolwent Podyplomowego Studium Prawa Własności Intelektualnej na Uniwersytecie Warszawskim oraz Podyplomowego Studium Administrowania Funduszami Unijnymi w Szkole Głównej Handlowej; prowadzi szkolenia i konferencje dla kierowniczej kadry oświaty, rad pedagogicznych, nauczycieli oraz wychowawców; autor i współautor wielu artykułów, książek i publikacji elektronicznych skierowany do szkół i przedszkoli; współpracownik Wydawnictwa Pedagogicznego Operon w zakresie projektu www.oswiataiprawo.pl, Wydawnictwa Verlag Dashofer w zakresie www.eduinfo.pl; właściciel serwisu www.eduprawnik.pl; aktualnie prowadzi Kancelarię EDUPRAWNIK specjalizująca się obsługą palcówek oświatowych oraz wydawców.

UOR 18 Cena: 99 zł brutto

Dariusz Skrzyński

Przewodnik

po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej

Przewodnik po ochronie danych osobowych Vademecum dyrektora i nauczyciela placówki oświatowej Dariusz Skrzyński

Autor:

Dariusz Skrzyński

Redaktor prowadzący: Wioleta Szczygielska Wydawca: Weronika Wota Korekta: Zespół Projekt okładki: Magdalena Huta Skład i łamanie: IGAWA Ireneusz Gawliński Druk: Miller Druk sp. z o.o. Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, 03-918 Warszawa tel.: 22 518 29 29, faks: 22 617 60 10 Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i ich tytułach. Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach, podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpowszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło. Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyjny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją. Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wydawca ani Redakcja nie świadczy żadnych usług prawnych. Nie mogą być one również traktowane jako oficjalne stanowisko organów i urzędów państwowych. Zastosowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji lub opinii prawnej. Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzialności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informacji zawartych w tych materiałach.

Spis treści CZĘŚĆ I – OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH ....................... 1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. ............................................................................................. 2. Regulacje prawne dotyczące ochrony danych osobowych .................................. 3. Dane osobowe ...................................................................................................... 3.1. Dane osobowe zwykłe ................................................................................... 3.2. Dane osobowe wrażliwe ................................................................................ 4. Przetwarzanie danych osobowych ...................................................................... 4.1. Definicja przetwarzania danych osobowych .............................................. 4.2. Dopuszczalność przetwarzania .................................................................. 4.3. Przesłanki legalności przetwarzania danych ............................................. 4.4. Katalog danych osobowych przetwarzanych przez placówki oświatowe .. 4.5. Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie .. 4.6. Dane osobowe pracowników szkoły i przedszkola ................................... 4.7. Dane osobowe rodziców i uczniów przetwarzane na podstawie ustawy o systemie oświaty i jej aktów wykonawczych ............................................ 4.8. Powierzenie przetwarzania danych osobowych ......................................... 5. Dokumentacja związana z przetwarzaniem danych osobowych ........................ 5.1. Rodzaj dokumentacji związanej z przetwarzaniem danych osobowych w szkole ....................................................................................................... 5.2. Polityka bezpieczeństwa ............................................................................. 5.3. Instrukcja zarządzania systemem informatycznym .................................. 5.4. Upoważnienia dla pracowników ................................................................ 5.5. Ewidencja upoważnień ............................................................................... 5.6. Umowy powierzenia przetwarzania danych osobowych ........................... 6. Zbiór danych osobowych ..................................................................................... 6.1. Definicja zbioru danych osobowych ........................................................... 6.2. Wykaz zbiorów danych osobowych w placówkach oświatowych .............. 7. Rejestracja zbiorów danych osobowych w GIODO ............................................ 7.1. Obowiązek rejestrowania zbiorów danych osobowych ............................. 7.2. Zwolnienie z obowiązku rejestracji zbioru danych pracowników szkoły/przedszkola .....................................................................................

9 11 15 17 17 19 19 19 20 20 22 23 25 27 30 31 31 32 35 37 38 38 39 39 40 40 40 41

3

Spis treści

8.

9.

10. 11.

4

7.3. Zwolnienie z obowiązku rejestracji zbioru danych uczniów/wychowanków ............................................................................. 7.4. Zwolnienie z obowiązku rejestracji zbioru danych rodziców uczniów ..... 7.5. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej .................................................................... 7.6. Zwolnienie z obowiązku rejestracji zbioru danych powszechnie dostępnych .................................................................................................. 7.7. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego .......................... 7.8. Zwolnienie z obowiązku rejestracji zbioru danych, jeżeli został powołany i zgłoszony ABI .......................................................................... 7.9. Zwolnienie z obowiązku rejestracji zbioru danych prowadzonych bez wykorzystania systemów informatycznych ......................................... 7.10. Procedura rejestrowania zbiorów danych osobowych w GIODO ............. 7.11. Elementy zgłoszenia zbioru danych do rejestracji GIODO ....................... Administrator danych osobowych (ADO) .......................................................... 8.1. Dyrektor jako administrator danych osobowych ...................................... 8.2. Administrator danych osobowych a jednostki obsługi ekonomiczno-administracyjnej ................................................................. 8.3. Administrator danych osobowych a umowa na przetwarzanie danych .... 8.4. Obowiązki administratora danych osobowych .......................................... 8.5. Obowiązki informacyjne ............................................................................ Administrator bezpieczeństwa informacji (ABI) ............................................... 9.1 Możliwość powołania ABI .......................................................................... 9.2. Rejestrowanie ABI ...................................................................................... 9.3. Kwalifikacje ABI .......................................................................................... 9.4. Zadania ABI ................................................................................................ 9.5. Sprawdzanie przestrzegania przepisów ...................................................... 9.6. Nadzorowanie dokumentacji ..................................................................... 9.7. Szkolenia dla pracowników ........................................................................ 9.8. Prowadzenie rejestru zbioru danych przez ABI ........................................ 9.9. Zasady prowadzenia rejestru zbioru danych ............................................. Środki zapewniające ochronę przetwarzanych danych osobowych ................... Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych ...... 11.1. Rodzaje odpowiedzialności związanej z przetwarzaniem danych osobowych ................................................................................................... 11.2. Odpowiedzialność karna za naruszenie ustawy o ochronie danych osobowych ...................................................................................... 11.3. Bezprawne przetwarzanie danych osobowych w zbiorze .......................... 11.4. Udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym ........................................................................ 11.5. Naruszenie obowiązku zabezpieczenia danych ......................................... 11.6. Naruszenie obowiązku rejestracji zbiorów danych w GIODO ..................

42 43

43 44 44 45 45 46 47 49 49 49 50 50 51 52 52 53 54 54 55 56 56 56 57 59 60 60 61 62 63 64 66

Spis treści 11.7. Niedopełnienie obowiązku informacyjnego przez administrującego danymi osobowymi .................................................................................... 11.8. Udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej ................................................................................................... 12. Zasady kontroli przetwarzania danych osobowych przez GIODO .................... 12.1. Kontrola GIODO ........................................................................................ 12.2. Zadania GIODO.......................................................................................... 12.3. Uprawnienia kontrolne GIODO ................................................................ 12.4. Uprawnienia inspektora ............................................................................. 12.5. Obowiązki inspektora ................................................................................ 12.6. Obowiązki kontrolowanego ........................................................................ 12.7. Legitymacja i upoważnienie ....................................................................... 12.8. Termin i czas kontroli ................................................................................. 12.9. Miejsce kontroli .......................................................................................... 12.10. Dokumentowanie czynności kontrolnych ................................................ 12.11. Uprawnienia pokontrolne ......................................................................... 13. Wyniki kontroli GIODO w szkołach i placówkach ............................................ 13.1. Udostępnianie danych osobowych nauczycieli i rodziców ........................ 13.2. Udostępnianie danych osobowych uczniów ............................................... 13.3. Zakres danych przetwarzanych przez szkoły i placówki ............................ CZĘŚĆ II – SZCZEGÓLNE PRZYPADKI OCHRONY DANYCH OSOBOWYCH ...... 14. Ochrona danych osobowych a system informacji oświatowej ............................ 15. Ochrona danych osobowych a e-dziennik ........................................................... 16. Ochrona danych osobowych a dostęp do informacji publicznej ........................ 17. Ochrona danych osobowych a ochrona informacji niejawnych ......................... 18. Ochrona danych osobowych a jawność wynagrodzeń pracowników ................. 18.1. Podstawa prawna ochrony informacji o wynagrodzeniu pracownika ...... 18.2. Informacja o wynagrodzeniu jako dana osobowa ...................................... 18.3. Niejawność informacji o wynagrodzeniu .................................................. 18.4. Ujawnianie informacji o wynagrodzeniu osób pełniących funkcje publiczne .................................................................................................... 18.5. Udostępnianie informacji o wynagrodzeniu w orzecznictwie ................... 18.6. Informacja o wynagrodzeniu osób niepełniących funkcji publicznych .... 19. Ochrona danych osobowych a strona internetowa placówki oświatowej ........... 19.1. Udostępnianie danych osobowych w Internecie ........................................ 19.2. Publikowanie danych osobowych za zgodą ................................................ 19.3. Publikowanie danych osobowych bez zgody ............................................. 19.4. Publikowanie zdjęć (rozpowszechnianie wizerunku) ................................ 20. Kontakty z mediami a ochrona danych osobowych ............................................ 21. Monitoring wizyjny a ochrona danych osobowych ............................................. 21.1. Miejsca objęte monitoringiem .................................................................... 21.2. Przechowywanie i udostępnianie nagrań z monitoringu szkolnego ......... 21.3. Monitorowanie pracowników .....................................................................

66 67 68 68 68 70 71 72 72 72 73 73 73 73 76 76 76 77 79 81 83 84 87 87 87 87 88 88 89 89 90 90 91 92 93 95 96 96 96 97

5

Spis treści 22. Wyłudzanie danych osobowych uczniów i rodziców .......................................... 22.1. Działalność firm komercyjnych w szkole ................................................... 22.2. Zgoda rodziców na gromadzenie danych osobowych uczniów ................. 23. Ochrona danych osobowych a noszenie identyfikatora z imieniem i nazwiskiem ........................................................................................................ 24. Ochrona danych osobowych a procedura weryfikowania danych osobowych kredytobiorców .................................................................................................... 25. Ochrona danych osobowych a upoważnienia do odbioru dzieci przez osobę inną niż rodzice ......................................................................................... 26. Ochrona danych osobowych a udzielanie informacji o dziecku innym osobom niż rodzic ............................................................................................... 27. Ochrona danych osobowych a uchwały rady pedagogicznej .............................. 28. Ochrona danych osobowych a działalność pielęgniarki szkolnej ...................... 29. Ochrona danych osobowych byłego pracownika ............................................... 30. Ochrona danych osobowych a wgląd do dokumentacji szkolnej........................ 31. Ochrona danych osobowych a profil szkoły na Facebooku ................................ 32. Ochrona danych osobowych a filmowanie lekcji ................................................ 33. Ochrona danych osobowych a nagrywanie rozmów ........................................... 34. Ochrona danych osobowych a udostępnienie arkusza organizacyjnego szkoły związkom zawodowym ............................................................................. 35. Ochrona danych osobowych a zakładowy fundusz świadczeń socjalnych ........ 36. Ochrona danych osobowych a dane umieszczane w protokole powypadkowym ................................................................................................... 37. Ochrona danych osobowych a ich udostępnianie księżom w parafii ................. 38. Ochrona danych osobowych a wywiadówki szkolne ........................................... 39. Ochrona danych osobowych a dziennik lekcyjny................................................ 40. Ochrona danych osobowych a przekazywanie danych e-mailem ....................... 41. Ochrona danych osobowych a dziennik nauczania indywidualnego ................. 42. Ochrona danych osobowych a dokumentacja poradni psychologiczno-pedagogicznej ............................................................................ 43. Ochrona danych osobowych a ankiety szkolne ................................................... 44. Ochrona danych osobowych a NNW na wycieczkach ......................................... 45. Ochrona danych osobowych a zbiory danych praktykantów i wolontariuszy ... 46. Ochrona danych osobowych a skarga na szkołę .................................................. CZĘŚĆ III – DOKUMENTACJA...................................................................................... 47. Zgoda na przetwarzanie danych osobowych (1) ................................................. 48. Zgoda na przetwarzanie danych osobowych (2) ................................................. 49. Zgoda na przetwarzanie danych osobowych (3) ................................................. 50. Cofnięcie zgody na przetwarzanie danych osobowych ...................................... 51. Umowa powierzenia przetwarzania danych osobowych..................................... 52. Zarządzenie dyrektora w sprawie dokumentacji przetwarzania danych osobowych ............................................................................................... 53. Oświadczenie zbiorcze pracowników w sprawie ochrony danych osobowych ..

6

98 98 98 99 100 100 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 115 116 117 119 119 121 123 124 125 126 127 131 132

Spis treści 54. Polityka bezpieczeństwa ...................................................................................... 55. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych .................................................................. 56. Indywidualny zakres obowiązków nałożonych na użytkownika systemu informatycznego przetwarzającego dane osobowe ............................................. 57. Upoważnienie do przetwarzania danych osobowych (1) .................................... 58. Upoważnienie do przetwarzania danych osobowych (2) .................................... 58. Upoważnienie do przetwarzania danych osobowych (3) .................................... 59. Procedura nadawania i zmiany uprawnień do przetwarzania danych osobowych ............................................................................................................ 60. Ewidencja osób upoważnionych do przetwarzania danych osobowych ............ 61. Zgłoszenie zbioru danych do rejestracji GIODO................................................ 62. Informacja o przetwarzaniu danych osobowych dla rodziców i opiekunów dzieci/pracowników/stażystów/praktykantów .................................................... 63. Akt powołania administratora bezpieczeństwa informacji ................................ 64. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji GIODO........................................................................................... 65. Zgłoszenie odwołania administratora bezpieczeństwa informacji do rejestracji GIODO .......................................................................................... 66. Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych ............................................................................................................ 67. Procedury wykonywania przeglądów i konserwacji systemu informatycznego ..... 68. Formy naruszenia ochrony danych osobowych .................................................. 69. Podstawowa lista kontrolna przestrzegania ochrony danych osobowych ......... 70. Raport z naruszenia zabezpieczenia danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych ..................... 71. Zgoda na wykorzystanie wizerunku dziecka ...................................................... 72. Zgoda na wykorzystanie wizerunku nauczyciela/pracownika ........................... 73. Wniosek do dyrektora o zgodę na przetwarzanie danych osobowych uczestników wycieczki poza teren szkoły ............................................................ 74. Zgoda na przetwarzanie danych osobowych uczestników wycieczki szkolnej poza teren szkoły .................................................................................................. CZĘŚĆ IV – AKTY PRAWNE ......................................................................................... 75. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) ..................................................... 76. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) ...................................... 77. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. z 2014 r. poz. 1934) .....................................

133 146 157 158 159 160 161 162 163 169 170 171 174 176 179 180 183 184 186 186 187 187 189 191

214

220

7

78. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) .................................................................. 79. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719) .......................... 80. Art. 81 ustawy o prawie autorskim i prawach pokrewnych ................................

221

225 227

CZĘŚĆ I  – OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH

1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. Funkcje opiekuńczo-wychowawczo-dydaktyczne to niejedyne zadania jednostek oświatowych. Działalność każdego przedszkola, szkoły i placówki podlega także przepisom ustawy z 9 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) – dalej: uodo. W rozumieniu art. 7 pkt 4 uodo są one administratorami danych osobowych, zaś za prawidłowe stosowanie i przestrzeganie obowiązujących regulacji odpowiada dyrektor decydujący o celach i środkach przetwarzania danych osobowych. W ramach tych obowiązków dyrektor jest przede wszystkim zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Musi zapewnić też opracowanie dokumentów polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym oraz ich przestrzeganie, a także zgłosić do Generalnego Inspektora Ochrony Danych Osobowych niektóre zbiory danych przetwarzane w jego jednostce. Dyrektor i pracownicy powinni też wiedzieć, które dane osobowe placówka może gromadzić wprost na podstawie przepisów ustawy, a które może pozyskiwać i przetwarzać tylko za zgodą. Vademecum omawia zakres danych osobowych, które jednostka może pozyskiwać, oraz zasady ich ochrony w kontekście najnowszych zmian. Od 1 stycznia 2015 r. obowiązują znowelizowane przepisy ustawy o ochronie danych osobowych, wprowadzone ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662). Zmiany dotyczą:  statusu administratora bezpieczeństwa informacji (ABI), jego pozycji, kompetencji i obszarów działania,  obowiązków administratora danych osobowych (ADO), polegających na zgłaszaniu do rejestracji zbiorów danych oraz wyznaczonego ABI,  kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

11

Przewodnik po ochronie danych osobowych

Tabela 1. Wykaz zmian w ustawie o ochronie danych osobowych wprowadzonych od 1 stycznia 2015 r.

Powołanie ABI w szkole

Skreślony został art. 36 ust. 3 uodo, a w jego miejsce pojawiły się art. od 36a do 36c, które w sposób kompleksowy normują pozycję i kompetencje administratora bezpieczeństwa informacji. ABI może powołać administrator danych (art. 36a ust. 1 uodo). Ma on prawo powołać również zastępców ABI. Wyznaczenie ABI nie jest obowiązkowe – jeśli w szkole takiej osoby nie będzie, zadania określone w art. 36a ust. 2 pkt 1 uodo, czyli związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, z wyłączeniem obowiązku sporządzania sprawozdania, wykonywać ma administrator danych (art. 36b uodo). Dyrektor powinien zdecydować, czy powołać ABI, czy też samodzielnie zapewniać przestrzeganie zasad ochrony danych osobowych.

Kwalifikacje ABI

W dotychczasowych przepisach nie było postanowień określających status administratora bezpieczeństwa informacji. Po nowelizacji określa je art. 36a uodo. Ma to być osoba m.in. posiadająca wiedzę w zakresie ochrony danych osobowych, czyli odpowiednio przygotowana i dająca rękojmię należytego wykonywania funkcji. Dotychczas funkcję ABI często powierzano osobie, która pełniła już inne obowiązki, np. zastępcy dyrektora szkoły, sekretarce czy nauczycielowi informatyki. Zapewnienie środków i organizacyjnej odrębności ABI, niezbędnych do niezależnego wykonywania przez niego zadań, jest obowiązkiem administratora danych.

Zadania ABI

Zgodnie z art. 36a ust. 2 pkt 1 uodo do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:  sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ich ochronie oraz opracowanie w tym zakresie sprawozdania dla administratora danych,  nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo, oraz przestrzegania zasad w niej określonych,  zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Nowym obowiązkiem administratora bezpieczeństwa informacji jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 uodo, czyli zwolnionych z obowiązku zgłoszenia do rejestracji. Rejestr zbiorów prowadzonych przez ABI ma zawierać: nazwy zbiorów oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 uodo, a więc zwykle charakteryzujące zbiór przy rejestracji, zawarte w zgłoszeniu zbioru do rejestracji. Rejestr ten jest jawny i każdy ma prawo go przeglądać. Tryb i sposób realizacji zadań ABI oraz sposób prowadzenia przez niego rejestru zbiorów danych regulowany jest rozporządzeniem.

Nowości przy rejestracji zbiorów danych

Podstawową nowością w zakresie rejestracji zbiorów jest niezgłaszanie GIODO tych zbiorów administratora danych, które zarejestrowane są lokalnie przez ABI. Ponieważ jednak z art. 43 ust. 1a uodo wynika, że obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go GIODO do rejestracji (z zastrzeżeniem art. 46e ust. 2 uodo), niezgłaszanie zbiorów jest ograniczone, bo:  zwolnienie z rejestracji GIODO dotyczy tylko przypadków prowadzenia rejestru przez zarejestrowanego ABI,  jeśli w zbiorach przetwarzane są dane wrażliwe, to zarejestrowanie u ABI nie wystarczy, bo i tak trzeba wypełnić obowiązek zgłoszenia GIODO,

12

Część I – Ogólne zasady ochrony danych osobowych Nowości przy rejestracji zbiorów danych

 w przypadku ABI ponownie zgłoszonego (po uprzednim wykreśleniu) do rejestru administratorów bezpieczeństwa informacji zwolnienie z obowiązku rejestracji stosuje się dopiero po wpisaniu zgłoszonego ABI do tego rejestru.

Rejestr ABI

Powołanie w szkole ABI wiąże się z koniecznością zgłoszenia tej osoby do rejestracji. Zgodnie z przepisami ustawy o ochronie danych osobowych GIODO ma prowadzić ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, do którego dyrektorzy szkół będą zgłaszać wyznaczonych przez siebie ABI. Wzory zgłoszeń powołania i odwołania zostały określone w rozporządzeniu. Na podstawie art. 46b uodo administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie lub odwołanie administratora bezpieczeństwa informacji w terminie 30 dni. Ustawa określa również zakres zgłaszanych informacji. Zgłoszenie powołania ABI do rejestracji powinno zawierać:  oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;  dane administratora bezpieczeństwa informacji: – imię i nazwisko, – numer PESEL lub gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, – adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; – datę powołania;  oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7. Zgłoszenie odwołania natomiast powinno ponadto zawierać datę i przyczynę odwołania. Administrator danych jest także zobowiązany w terminie 14 dni zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa w art. 46b ust. 2 uodo. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania ABI. Na żądanie ABI lub administratora danych GIODO wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. Do celów dokumentacyjnych i dowodowych rekomenduje wystąpienie do GIODO o wydanie tego zaświadczenia. Znowelizowana ustawa o ochronie danych osobowych określa także zasady wykreślania ABI z rejestru. Warto przy tym pamiętać, że po wykreśleniu konieczne będzie zgłoszenie do rejestracji GIODO tych zbiorów, które dotychczas korzystały ze zwolnienia wynikającego z funkcjonowania w szkole administratora bezpieczeństwa informacji.

Rozszerzenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO)

Administrator bezpieczeństwa informacji co najmniej raz w roku powinien przeprowadzić sprawdzenie zgodności przetwarzania danych osobowych w jednostce z przepisami. Z tego narzędzia korzystać ma przede wszystkim administrator danych – ma mu ono służyć do uzyskania wiedzy o stanie ochrony danych osobowych w placówce. Z instytucji tej jednak skorzysta też GIODO, dla którego sprawdzenie prowadzone przez ABI może być wsparciem w działalności kontrolnej. Poprzez ten instrument GIODO zyskuje bowiem kontakt z podmiotem (ABI), który z uwagi na swą niezależność i profesjonalizm zapewnia wysoki poziom współpracy. W art. 36c uodo określono elementy sprawozdania opracowanego w wyniku sprawdzenia. Zgodnie z dodanym do ustawy o ochronie danych osobowych art. 19b GIODO może zwrócić się do ABI o sprawdzenie u administratora danych, który go

13

Przewodnik po ochronie danych osobowych

Rozszerzenie kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO)

powołał, zgodności przetwarzania danych osobowych z przepisami, wskazując jego zakres i termin. Po dokonaniu tego sprawdzenia ABI – za pośrednictwem administratora danych, czyli w szkole/przedszkolu za pośrednictwem jej dyrektora – przedstawia GIODO sprawozdanie, takie jakie zwykle sporządzać ma dla administratora danych. Sprawdzenie to ma mieć m.in. charakter prewencyjny i w efekcie ma oddalać ewentualną kontrolę w danej placówce przez GIODO. Ustawa przewiduje jednak, że przeprowadzenie sprawdzenia przez ABI na żądanie GIODO nie wyklucza prawa Generalnego Inspektora do przeprowadzenia kontroli.

Nowe uregulowania będą miały wpływ na kształt systemu ochrony danych osobowych u każdego administratora danych, dotyczą więc również placówek oświatowych zobowiązanych do stosowania przepisów ustawy o ochronie danych osobowych. Nowelizacja może oznaczać konieczność zmian w dotychczasowej dokumentacji. Bez względu na to, czy dyrektor zdecyduje się powołać ABI, czy też nie, zasadna jest analiza prowadzonej dokumentacji techniczno-organizacyjnej, czyli Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Należy albo wprowadzić do nich postanowienia o powołaniu administratora bezpieczeństwa informacji i jego kompetencjach, albo zaznaczyć, że administrator danych nie powołuje ABI i samodzielnie zapewnia przestrzeganie przepisów o ochronie danych osobowych. Jeśli dyrektor szkoły zdecyduje się powołać ABI, powinien ten fakt udokumentować. Wyznaczenie administratora bezpieczeństwa informacji może nastąpić zarówno w drodze zarządzenia, jak i poprzez omówione już wprowadzenie w Polityce bezpieczeństwa odpowiednich postanowień, z których wynikać będzie, że osoba zajmująca dane stanowisko pełni tę funkcję. W związku z działalnością ABI w szkole pojawią się sprawozdania dokumentujące sprawdzanie przez niego zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto nowymi dokumentami będą kopie zgłoszeń powołania bądź odwołania ABI czy kopie zaświadczeń o zarejestrowaniu, wynikające z obowiązku zarejestrowania administratora bezpieczeństwa informacji u GIODO. Przetwarzanie danych osobowych w placówce oświatowej, niezależnie czy jest to placówka publiczna, czy niepubliczna, jest jednym z podstawowych procesów w niej zachodzących. Zebrane informacje, zarówno te dotyczące uczniów, wychowanków, jak i ich rodziców, stanowią fundament jej funkcjonowania. Ponadto stale rosnąca wśród społeczeństwa świadomość ochrony danych osobowych jest sygnałem dla podmiotów przetwarzających dane do szczególnego zwrócenia uwagi na tę kwestię. Dlatego też tak ważne jest to, aby proces ten był legalny, dostęp do danych mieli jedynie upoważnieni pracownicy, a wszystkie zebrane dane zostały należycie zabezpieczone. Obecnie obowiązujące przepisy zapewniają, w większości przypadków, skuteczną ochronę danych. Oczywiście zdarza się, że dyrektorzy czy nauczyciele nie znajdują odpowiedzi na nurtujące ich pytania w obowiązujących przepisach prawa. Dlatego materiał ten ma za zadanie usystematyzować kwestie związane z przetwarzaniem danych osobowych dzieci, wychowanków, ich rodziców, nauczycieli i pracowników niepedago-

14

Suggest Documents

Ustawa o ochronie danych osobowych

Ustawa o ochronie danych osobowych
Read more
USTAWA O OCHRONIE DANYCH OSOBOWYCH

USTAWA O OCHRONIE DANYCH OSOBOWYCH
Read more
USTAWA O OCHRONIE DANYCH OSOBOWYCH

USTAWA O OCHRONIE DANYCH OSOBOWYCH
Read more
- o zmianie ustawy o ochronie danych osobowych

- o zmianie ustawy o ochronie danych osobowych
Read more
Ustawa o ochronie danych osobowych a bazy danych Oracle

Ustawa o ochronie danych osobowych a bazy danych Oracle
Read more
USTAWA. Ochrona danych osobowych. z dnia 29 sierpnia 1997 r. o ochronie danych osobowych 1

USTAWA. Ochrona danych osobowych. z dnia 29 sierpnia 1997 r. o ochronie danych osobowych 1
Read more
PROJEKTOWANE ZMIANY W UNIJNYCH PRZEPISACH O OCHRONIE DANYCH OSOBOWYCH

PROJEKTOWANE ZMIANY W UNIJNYCH PRZEPISACH O OCHRONIE DANYCH OSOBOWYCH
Read more
KONSEKWENCJE NOWELIZACJI USTAWY O OCHRONIE DANYCH OSOBOWYCH DLA OBROTU GOSPODARCZEGO

KONSEKWENCJE NOWELIZACJI USTAWY O OCHRONIE DANYCH OSOBOWYCH DLA OBROTU GOSPODARCZEGO
Read more
2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP
Read more
OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH
Read more
Ochrona danych osobowych

Ochrona danych osobowych
Read more
Formularz danych osobowych

Formularz danych osobowych
Read more
Regulamin ochrony danych osobowych

Regulamin ochrony danych osobowych
Read more
Ochrona danych osobowych - zmiany po 1 stycznia 2015r

Ochrona danych osobowych - zmiany po 1 stycznia 2015r
Read more
VADEMECUM OCHRONY DANYCH OSOBOWYCH

VADEMECUM OCHRONY DANYCH OSOBOWYCH
Read more
OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH
Read more
Ochrona danych osobowych

Ochrona danych osobowych
Read more
OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH
Read more
OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH
Read more
Regulamin przetwarzania danych osobowych

Regulamin przetwarzania danych osobowych
Read more
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH

DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH
Read more
Zasady przetwarzania danych osobowych

Zasady przetwarzania danych osobowych
Read more
OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH
Read more
OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH
Read more