Informacje dla rodziców, opiekunów i nauczycieli
ULOTKA DLA RODZICÓW, OPIEKUNÓW I NAUCZYCIELI:
W niniejszym materiale przedstawiono zapisy Ustawy o ochronie danych osobowych /UODO/ z komentarzami pozwalającymi na wdrażanie odpowiednich zabezpieczeń w zbiorach danych przetwarzanych przez szkoły ale i inne instytucje, które przetwarzają dane osobowe.
1.Wstęp
Gwarancją ochrony danych osobowych jest Art. 1. 1. UODO, który mówi, iż „Każdy ma prawo do ochrony dotyczących go danych osobowych”. Co ważne w myśl Art. 2.2. UODO ochrona ta dotyczy przetwarzania danych osobowych, zarówno w systemach informatycznych, ale także w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych.
2.Dane osobowe
Art. 6. UODO wskazuje, iż za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio,
w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Tak więc wskazanie samego imienia i nazwiska nie identyfikuje osoby fizycznej ale każde określenie pozwalające na weryfikację, typu: „Adam Kowalski, mój sąsiad z trzeciego piętra”, „mój kolega Adam, uczeń mojej szkoły z klasy 3a”, „Adam Kowalski, syn Radnego” w sposób pośredni pozwalają identyfikować osoby.
3. Przydatne terminy
Art. 7 UODO definiuje kilka terminów, związanych z ochroną danych osobowych:
1. zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
Takim zbiorem są:
- zbiór uczniów w dzienniku lekcyjnym
- zbiór uczniów w Systemie Informacji Oświatowej
2.przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
Przetwarzaniem w zakresie ustawy będzie:
- przenoszenie dziennika lekcyjnego z Pokoju nauczycielskiego do Sali
2a). system informatyczny - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
Przetwarzaniem w zakresie ustawy będzie:
- tworzenie raportów w oparciu o system informatyczny
2b)zabezpieczenie danych w systemie informatycznym - rozumie się przez to wdrożenie
i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
Zabezpieczaniem w zakresie ustawy będzie:
- przydzielanie identyfikatorów i haseł dostępu do systemów, np. e-dziennika
- stosowanie programów antywirusowych
- zabezpieczenia przed nieuprawnionym kopiowaniem i niszczeniem
4) administratorze danych - rozumie się przez to organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2, decydujące o celach i środkach przetwarzania danych osobowych,
Administrator danych w szkole:
- Szkoła jest Administratorem Danych, która reprezentuje Dyrektor Szkoły
4. Generalny Inspektor Ochrony Danych Osobowych
Zgodnie z art. 8.1. UODO organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Art. 12. UODO określa zadania Generalnego Inspektora, do których
w szczególności należą między innymi:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów
o ochronie danych osobowych,
3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
GIODO w myśl art. 14. UODO ma w szczególności prawo:
1) wstępu, w godzinach od 6 do 22, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
3) żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli,
4) żądać udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
Kierownicy kontrolowanej jednostki w myśl zapisu art. 15 UODO są obowiązani umożliwić inspektorowi przeprowadzenie kontroli.
5. Obowiązki Administratora Danych
Obowiązkiem Administratora Danych zgodnie z Art. 26. 1. UODO jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
6. Dane wrażliwe
Art. 27. 1. UODO wskazuje nam dane wrażliwe, tzn. sensytywne, który mówi, że „zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”. Przetwarzanie danych określonych powyżej, jest jednak dopuszczalne, jeżeli:
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
7. Powierzanie przetwarzania danych
Bardzo często korzysta się z powierzania przetwarzania danych osobowych, który określa Art. 31. UODO. Należy zaznaczyć, że do Administratora Danych należy zweryfikowanie, aby powierzenie zawęzić jedynie w zakresie i celu przewidzianym w umowie. A przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających zbiór danych, o których mowa w art. 36-39. UODO.
8. Środki techniczne i organizacyjne
Art. 36. UODO zobowiązuje Administratora Danych do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Za obowiązki organizacyjne uważa się:
- wdrożenie polityki bezpieczeństwa
- wdrożenie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
- upoważnienie wszystkich osób, które przetwarzają dane osobowe /art. 37 UODO/
- zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą urządzeń teletransmisji danych /art. 38 UODO/
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych /art. 39 UODO/
- rejestracja zbiorów danych osobowych w GIODO, które podlegają takiemu obowiązkowi /art. 40 UODO/
Z obowiązku rejestracji zbiorów danych, zgodnie z Art. 43. UODO zwolnieni są administratorzy danych:
1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
3) dotyczących członków kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
4) dotyczących osób u nich zatrudnionych, zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, rad powiatów i sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej Polskiej oraz ustaw o referendum i ustawy o referendum gminnym(1),
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
9. Przepisy karne UODO
Przepisy karne UODO są opisane w art. 49-55 UODO, gdzie sankcjonowane jest:
Art. 49. - przetwarzanie w zbiorze danych osobowych, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony,
Art. 50. - przechowywanie w zbiorze danych osobowych niezgodnych z celem utworzenia zbioru,
Art. 51. – udostępnianie danych lub umożliwianie dostępu do nich osobom nieupoważnionym,
Art. 52. - naruszanie choćby nieumyślnie obowiązku zabezpieczania ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,
Art. 53. - niezgłaszanie do rejestracji zbioru danych,
Art. 54. - niedopełnianie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych