Embed Size (px)
Citation preview
Przewodnik po ochronie danych osobowych
Vademecum dyrektora i nauczyciela placówki oświatowej
Przewodnik po ochronie danych osobow
ych. Vademecum
dyrektora i nauczyciela placówki ośw
iatowej.
Dariusz Skrzyński
Prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego, project manager projektów oświatowych realizowanych z funduszy UE, absolwent Podyplomowego Studium Prawa Własności Intelektualnej na Uniwersytecie Warszawskim oraz Podyplomowego Studium Administrowania Funduszami Unijnymi w Szkole Głównej Handlowej; prowadzi szkolenia i konferencje dla kierowniczej kadry oświaty, rad pedagogicznych, nauczycieli oraz wychowawców; autor i współautor wielu artykułów, książek i publikacji elektronicznych skierowany do szkół i przedszkoli; współpracownik Wydawnictwa Pedagogicznego Operon w zakresie projektu www.oswiataiprawo.pl, Wydawnictwa Verlag Dashofer w zakresie www.eduinfo.pl; właściciel serwisu www.eduprawnik.pl; aktualnie prowadzi Kancelarię EDUPRAWNIK specjalizująca się obsługą palcówek oświatowych oraz wydawców.
UO
R 18
Cena: 99 zł brutto
Dariusz Skrzyński
Przewodnik po ochronie danych osobowych
Vademecum dyrektora i nauczyciela placówki oświatowej
Dariusz Skrzyński
Autor:
Dariusz Skrzyński
Redaktor prowadzący: Wioleta Szczygielska
Wydawca: Weronika Wota
Korekta: Zespół
Projekt okładki: Magdalena Huta
Skład i łamanie: IGAWA Ireneusz Gawliński
Druk: Miller Druk sp. z o.o.
Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.Warszawa 2015
Wydawnictwo Wiedza i Praktyka sp. z o.o.ul. Łotewska 9a, 03-918 Warszawatel.: 22 518 29 29, faks: 22 617 60 10
Redakcja zastrzega sobie prawo dokonywania zmian i skrótów w nadesłanych artykułach i ich tytułach. Artykułów ani jakichkolwiek innych materiałów niezamówionych Redakcja nie zwraca. Wszelkie prawa do niniejszej publikacji, w tym do jej tytułu oraz do treści zawartych w zamieszczonych w niej artykułach, podlegają ochronie prawnej przewidzianej w szczególności prawem autorskim. Ich przedruk oraz rozpo-wszechnianie bez wiedzy i zgody Redakcji są zabronione. Zakaz ten nie dotyczy cytowania ww. materiałów w granicach dozwolonego użytku, z powołaniem się na źródło.Wszelkie materiały zawarte w niniejszej publikacji mają charakter wyłącznie popularyzacyjno-informacyj-ny i nie mogą być traktowane w sposób prawnie wiążący pomiędzy Czytelnikiem a Wydawcą lub Redakcją.Redakcja dokłada wszelkich starań, aby informacje i dane zamieszczone w tych materiałach były poprawne merytorycznie i aktualne, jednak informacje te nie mają charakteru porady czy opinii prawnej, jako że Wy-dawca ani Redakcja nie świadczy żadnych usług prawnych. Nie mogą być one również traktowane jako ofi cjalne stanowisko organów i urzędów państwowych. Zasto-sowanie tych informacji w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsulta-cji lub opinii prawnej. Wobec powyższego Wydawca, Redakcja, redaktorzy ani autorzy ww. materiałów nie ponoszą odpowiedzial-ności prawnej w szczególności za skutki zastosowania się lub wykorzystania w jakikolwiek sposób informa-cji zawartych w tych materiałach.
3
Spis treści
CZĘŚĆ I – OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH ....................... 9 1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. ............................................................................................. 11 2. Regulacje prawne dotyczące ochrony danych osobowych .................................. 15 3. Dane osobowe ...................................................................................................... 17 3.1. Dane osobowe zwykłe ................................................................................... 17 3.2. Dane osobowe wrażliwe ................................................................................ 19 4. Przetwarzanie danych osobowych ...................................................................... 19 4.1. Defi nicja przetwarzania danych osobowych .............................................. 19 4.2. Dopuszczalność przetwarzania .................................................................. 20 4.3. Przesłanki legalności przetwarzania danych ............................................. 20 4.4. Katalog danych osobowych przetwarzanych przez placówki oświatowe .. 22 4.5. Pozyskiwanie danych osobowych osób ubiegających się o zatrudnienie .. 23 4.6. Dane osobowe pracowników szkoły i przedszkola ................................... 25 4.7. Dane osobowe rodziców i uczniów przetwarzane na podstawie ustawy o systemie oświaty i jej aktów wykonawczych ............................................ 27 4.8. Powierzenie przetwarzania danych osobowych ......................................... 30 5. Dokumentacja związana z przetwarzaniem danych osobowych ........................ 31 5.1. Rodzaj dokumentacji związanej z przetwarzaniem danych osobowych w szkole ....................................................................................................... 31 5.2. Polityka bezpieczeństwa ............................................................................. 32 5.3. Instrukcja zarządzania systemem informatycznym .................................. 35 5.4. Upoważnienia dla pracowników ................................................................ 37 5.5. Ewidencja upoważnień ............................................................................... 38 5.6. Umowy powierzenia przetwarzania danych osobowych ........................... 38 6. Zbiór danych osobowych ..................................................................................... 39 6.1. Defi nicja zbioru danych osobowych ........................................................... 39 6.2. Wykaz zbiorów danych osobowych w placówkach oświatowych .............. 40 7. Rejestracja zbiorów danych osobowych w GIODO ............................................ 40 7.1. Obowiązek rejestrowania zbiorów danych osobowych ............................. 40 7.2. Zwolnienie z obowiązku rejestracji zbioru danych pracowników szkoły/przedszkola ..................................................................................... 41
4
Spis treści
7.3. Zwolnienie z obowiązku rejestracji zbioru danych uczniów/wychowanków ............................................................................. 42 7.4. Zwolnienie z obowiązku rejestracji zbioru danych rodziców uczniów ..... 43 7.5. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości fi nansowej .................................................................... 43 7.6. Zwolnienie z obowiązku rejestracji zbioru danych powszechnie dostępnych .................................................................................................. 44 7.7. Zwolnienie z obowiązku rejestracji zbioru danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego .......................... 44 7.8. Zwolnienie z obowiązku rejestracji zbioru danych, jeżeli został powołany i zgłoszony ABI .......................................................................... 45 7.9. Zwolnienie z obowiązku rejestracji zbioru danych prowadzonych bez wykorzystania systemów informatycznych ......................................... 45 7.10. Procedura rejestrowania zbiorów danych osobowych w GIODO ............. 46 7.11. Elementy zgłoszenia zbioru danych do rejestracji GIODO ....................... 47 8. Administrator danych osobowych (ADO) .......................................................... 49 8.1. Dyrektor jako administrator danych osobowych ...................................... 49 8.2. Administrator danych osobowych a jednostki obsługi ekonomiczno-administracyjnej ................................................................. 49 8.3. Administrator danych osobowych a umowa na przetwarzanie danych .... 50 8.4. Obowiązki administratora danych osobowych .......................................... 50 8.5. Obowiązki informacyjne ............................................................................ 51 9. Administrator bezpieczeństwa informacji (ABI) ............................................... 52 9.1 Możliwość powołania ABI .......................................................................... 52 9.2. Rejestrowanie ABI ...................................................................................... 53 9.3. Kwalifi kacje ABI .......................................................................................... 54 9.4. Zadania ABI ................................................................................................ 54 9.5. Sprawdzanie przestrzegania przepisów ...................................................... 55 9.6. Nadzorowanie dokumentacji ..................................................................... 56 9.7. Szkolenia dla pracowników ........................................................................ 56 9.8. Prowadzenie rejestru zbioru danych przez ABI ........................................ 56 9.9. Zasady prowadzenia rejestru zbioru danych ............................................. 57 10. Środki zapewniające ochronę przetwarzanych danych osobowych ................... 59 11. Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych ...... 60 11.1. Rodzaje odpowiedzialności związanej z przetwarzaniem danych osobowych ................................................................................................... 60 11.2. Odpowiedzialność karna za naruszenie ustawy o ochronie danych osobowych ...................................................................................... 61 11.3. Bezprawne przetwarzanie danych osobowych w zbiorze .......................... 62 11.4. Udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym ........................................................................ 63 11.5. Naruszenie obowiązku zabezpieczenia danych ......................................... 64 11.6. Naruszenie obowiązku rejestracji zbiorów danych w GIODO .................. 66
5
Spis treści
11.7. Niedopełnienie obowiązku informacyjnego przez administrującego danymi osobowymi .................................................................................... 66 11.8. Udaremnianie lub utrudnianie inspektorowi wykonywania czynności kontrolnej ................................................................................................... 67 12. Zasady kontroli przetwarzania danych osobowych przez GIODO .................... 68 12.1. Kontrola GIODO ........................................................................................ 68 12.2. Zadania GIODO .......................................................................................... 68 12.3. Uprawnienia kontrolne GIODO ................................................................ 70 12.4. Uprawnienia inspektora ............................................................................. 71 12.5. Obowiązki inspektora ................................................................................ 72 12.6. Obowiązki kontrolowanego ........................................................................ 72 12.7. Legitymacja i upoważnienie ....................................................................... 72 12.8. Termin i czas kontroli ................................................................................. 73 12.9. Miejsce kontroli .......................................................................................... 73 12.10. Dokumentowanie czynności kontrolnych ................................................ 73 12.11. Uprawnienia pokontrolne ......................................................................... 73 13. Wyniki kontroli GIODO w szkołach i placówkach ............................................ 76 13.1. Udostępnianie danych osobowych nauczycieli i rodziców ........................ 76 13.2. Udostępnianie danych osobowych uczniów ............................................... 76 13.3. Zakres danych przetwarzanych przez szkoły i placówki ............................ 77
CZĘŚĆ II – SZCZEGÓLNE PRZYPADKI OCHRONY DANYCH OSOBOWYCH ...... 79 14. Ochrona danych osobowych a system informacji oświatowej ............................ 81 15. Ochrona danych osobowych a e-dziennik ........................................................... 83 16. Ochrona danych osobowych a dostęp do informacji publicznej ........................ 84 17. Ochrona danych osobowych a ochrona informacji niejawnych ......................... 87 18. Ochrona danych osobowych a jawność wynagrodzeń pracowników ................. 87 18.1. Podstawa prawna ochrony informacji o wynagrodzeniu pracownika ...... 87 18.2. Informacja o wynagrodzeniu jako dana osobowa ...................................... 87 18.3. Niejawność informacji o wynagrodzeniu .................................................. 88 18.4. Ujawnianie informacji o wynagrodzeniu osób pełniących funkcje publiczne .................................................................................................... 88 18.5. Udostępnianie informacji o wynagrodzeniu w orzecznictwie ................... 89 18.6. Informacja o wynagrodzeniu osób niepełniących funkcji publicznych .... 89 19. Ochrona danych osobowych a strona internetowa placówki oświatowej ........... 90 19.1. Udostępnianie danych osobowych w Internecie ........................................ 90 19.2. Publikowanie danych osobowych za zgodą ................................................ 91 19.3. Publikowanie danych osobowych bez zgody ............................................. 92 19.4. Publikowanie zdjęć (rozpowszechnianie wizerunku) ................................ 93 20. Kontakty z mediami a ochrona danych osobowych ............................................ 95 21. Monitoring wizyjny a ochrona danych osobowych ............................................. 96 21.1. Miejsca objęte monitoringiem .................................................................... 96 21.2. Przechowywanie i udostępnianie nagrań z monitoringu szkolnego ......... 96 21.3. Monitorowanie pracowników ..................................................................... 97
6
Spis treści
22. Wyłudzanie danych osobowych uczniów i rodziców .......................................... 98 22.1. Działalność fi rm komercyjnych w szkole ................................................... 98 22.2. Zgoda rodziców na gromadzenie danych osobowych uczniów ................. 98 23. Ochrona danych osobowych a noszenie identyfi katora z imieniem i nazwiskiem ........................................................................................................ 99 24. Ochrona danych osobowych a procedura weryfi kowania danych osobowych kredytobiorców .................................................................................................... 100 25. Ochrona danych osobowych a upoważnienia do odbioru dzieci przez osobę inną niż rodzice ......................................................................................... 100 26. Ochrona danych osobowych a udzielanie informacji o dziecku innym osobom niż rodzic ............................................................................................... 100 27. Ochrona danych osobowych a uchwały rady pedagogicznej .............................. 101 28. Ochrona danych osobowych a działalność pielęgniarki szkolnej ...................... 102 29. Ochrona danych osobowych byłego pracownika ............................................... 103 30. Ochrona danych osobowych a wgląd do dokumentacji szkolnej ........................ 104 31. Ochrona danych osobowych a profi l szkoły na Facebooku ................................ 105 32. Ochrona danych osobowych a fi lmowanie lekcji ................................................ 106 33. Ochrona danych osobowych a nagrywanie rozmów ........................................... 107 34. Ochrona danych osobowych a udostępnienie arkusza organizacyjnego szkoły związkom zawodowym ............................................................................. 108 35. Ochrona danych osobowych a zakładowy fundusz świadczeń socjalnych ........ 109 36. Ochrona danych osobowych a dane umieszczane w protokole powypadkowym ................................................................................................... 110 37. Ochrona danych osobowych a ich udostępnianie księżom w parafi i ................. 111 38. Ochrona danych osobowych a wywiadówki szkolne ........................................... 112 39. Ochrona danych osobowych a dziennik lekcyjny ................................................ 113 40. Ochrona danych osobowych a przekazywanie danych e-mailem ....................... 114 41. Ochrona danych osobowych a dziennik nauczania indywidualnego ................. 115 42. Ochrona danych osobowych a dokumentacja poradni psychologiczno-pedagogicznej ............................................................................ 115 43. Ochrona danych osobowych a ankiety szkolne ................................................... 116 44. Ochrona danych osobowych a NNW na wycieczkach ......................................... 117 45. Ochrona danych osobowych a zbiory danych praktykantów i wolontariuszy ... 119 46. Ochrona danych osobowych a skarga na szkołę .................................................. 119
CZĘŚĆ III – DOKUMENTACJA ...................................................................................... 121 47. Zgoda na przetwarzanie danych osobowych (1) ................................................. 123 48. Zgoda na przetwarzanie danych osobowych (2) ................................................. 124 49. Zgoda na przetwarzanie danych osobowych (3) ................................................. 125 50. Cofnięcie zgody na przetwarzanie danych osobowych ...................................... 126 51. Umowa powierzenia przetwarzania danych osobowych ..................................... 127 52. Zarządzenie dyrektora w sprawie dokumentacji przetwarzania danych osobowych ............................................................................................... 131 53. Oświadczenie zbiorcze pracowników w sprawie ochrony danych osobowych .. 132
7
Spis treści
54. Polityka bezpieczeństwa ...................................................................................... 133 55. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych .................................................................. 146 56. Indywidualny zakres obowiązków nałożonych na użytkownika systemu informatycznego przetwarzającego dane osobowe ............................................. 157 57. Upoważnienie do przetwarzania danych osobowych (1) .................................... 158 58. Upoważnienie do przetwarzania danych osobowych (2) .................................... 159 58. Upoważnienie do przetwarzania danych osobowych (3) .................................... 160 59. Procedura nadawania i zmiany uprawnień do przetwarzania danych osobowych ............................................................................................................ 161 60. Ewidencja osób upoważnionych do przetwarzania danych osobowych ............ 162 61. Zgłoszenie zbioru danych do rejestracji GIODO ................................................ 163 62. Informacja o przetwarzaniu danych osobowych dla rodziców i opiekunów dzieci/pracowników/stażystów/praktykantów .................................................... 169 63. Akt powołania administratora bezpieczeństwa informacji ................................ 170 64. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji GIODO ........................................................................................... 171 65. Zgłoszenie odwołania administratora bezpieczeństwa informacji do rejestracji GIODO .......................................................................................... 174 66. Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych ............................................................................................................ 176 67. Procedury wykonywania przeglądów i konserwacji systemu informatycznego ..... 179 68. Formy naruszenia ochrony danych osobowych .................................................. 180 69. Podstawowa lista kontrolna przestrzegania ochrony danych osobowych ......... 183 70. Raport z naruszenia zabezpieczenia danych osobowych w systemie informatycznym służącym do przetwarzania danych osobowych ..................... 184 71. Zgoda na wykorzystanie wizerunku dziecka ...................................................... 186 72. Zgoda na wykorzystanie wizerunku nauczyciela/pracownika ........................... 186 73. Wniosek do dyrektora o zgodę na przetwarzanie danych osobowych uczestników wycieczki poza teren szkoły ............................................................ 187 74. Zgoda na przetwarzanie danych osobowych uczestników wycieczki szkolnej poza teren szkoły .................................................................................................. 187
CZĘŚĆ IV – AKTY PRAWNE ......................................................................................... 189 75. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) ..................................................... 191 76. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) ...................................... 214 77. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. z 2014 r. poz. 1934) ..................................... 220
78. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) .................................................................. 221 79. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719) .......................... 225 80. Art. 81 ustawy o prawie autorskim i prawach pokrewnych ................................ 227
CZĘŚĆ I – OGÓLNE ZASADY OCHRONY DANYCH OSOBOWYCH
11
1. Wprowadzenie. Zmiany w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r.
Funkcje opiekuńczo-wychowawczo-dydaktyczne to niejedyne zadania jednostek oświatowych. Działalność każdego przedszkola, szkoły i placówki podlega także przepi-som ustawy z 9 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.) – dalej: uodo. W rozumieniu art. 7 pkt 4 uodo są one administratora-mi danych osobowych, zaś za prawidłowe stosowanie i przestrzeganie obowiązujących regulacji odpowiada dyrektor decydujący o celach i środkach przetwarzania danych oso-bowych. W ramach tych obowiązków dyrektor jest przede wszystkim zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Musi zapewnić też opracowanie dokumentów polityki bezpieczeństwa oraz instrukcji za-rządzania systemem informatycznym oraz ich przestrzeganie, a także zgłosić do Gene-ralnego Inspektora Ochrony Danych Osobowych niektóre zbiory danych przetwarzane w jego jednostce. Dyrektor i pracownicy powinni też wiedzieć, które dane osobowe pla-cówka może gromadzić wprost na podstawie przepisów ustawy, a które może pozyskiwać i przetwarzać tylko za zgodą.
Vademecum omawia zakres danych osobowych, które jednostka może pozyskiwać, oraz zasady ich ochrony w kontekście najnowszych zmian. Od 1 stycznia 2015 r. obo-wiązują znowelizowane przepisy ustawy o ochronie danych osobowych, wprowadzone ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662).
Zmiany dotyczą: statusu administratora bezpieczeństwa informacji (ABI), jego pozycji, kompeten-
cji i obszarów działania, obowiązków administratora danych osobowych (ADO), polegających na zgłasza-
niu do rejestracji zbiorów danych oraz wyznaczonego ABI, kompetencji Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
12
Przewodnik po ochronie danych osobowych
Tabela 1. Wykaz zmian w ustawie o ochronie danych osobowych wprowadzonych od 1 stycznia 2015 r.
Powołanie ABI w szkole
Skreślony został art. 36 ust. 3 uodo, a w jego miejsce pojawiły się art. od 36a do 36c, które w sposób kompleksowy normują pozycję i kompetencje ad-ministratora bezpieczeństwa informacji. ABI może powołać administrator danych (art. 36a ust. 1 uodo). Ma on prawo powołać również zastępców ABI. Wyznaczenie ABI nie jest obowiązkowe – jeśli w szkole takiej osoby nie będzie, zadania określone w art. 36a ust. 2 pkt 1 uodo, czyli związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, z wyłączeniem obowiązku sporządzania sprawozdania, wykonywać ma administrator danych (art. 36b uodo). Dyrektor powinien zdecydować, czy powołać ABI, czy też samodzielnie zapewniać przestrzeganie zasad ochrony danych osobowych.
Kwalifi kacje ABI
W dotychczasowych przepisach nie było postanowień określających status administratora bezpieczeństwa informacji. Po nowelizacji określa je art. 36a uodo. Ma to być osoba m.in. posiadająca wiedzę w zakresie ochrony danych osobowych, czyli odpowiednio przygotowana i dająca rękojmię należytego wykonywania funkcji. Dotychczas funkcję ABI często powierzano osobie, która pełniła już inne obowiązki, np. zastępcy dyrektora szkoły, sekretarce czy nauczycielowi informatyki. Zapewnienie środków i organizacyjnej odrębności ABI, niezbędnych do niezależnego wykonywania przez niego zadań, jest obo-wiązkiem administratora danych.
Zadania ABI
Zgodnie z art. 36a ust. 2 pkt 1 uodo do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ich ochronie oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo, oraz przestrzegania zasad w niej określonych,
zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Nowym obowiązkiem administratora bezpieczeństwa informacji jest prowa-dzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 uodo, czyli zwolnionych z obowiązku zgłoszenia do rejestracji. Rejestr zbiorów prowadzonych przez ABI ma zawierać: nazwy zbiorów oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 uodo, a więc zwykle charakteryzujące zbiór przy rejestracji, zawarte w zgłoszeniu zbioru do rejestracji. Rejestr ten jest jawny i każdy ma prawo go przeglądać. Tryb i sposób realizacji zadań ABI oraz sposób prowa-dzenia przez niego rejestru zbiorów danych regulowany jest rozporządzeniem.
Nowości przy rejestracji zbiorów danych
Podstawową nowością w zakresie rejestracji zbiorów jest niezgłaszanie GIODO tych zbiorów administratora danych, które zarejestrowane są lokalnie przez ABI. Ponieważ jednak z art. 43 ust. 1a uodo wynika, że obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go GIODO do rejestracji (z zastrzeżeniem art. 46e ust. 2 uodo), niezgłaszanie zbiorów jest ograniczone, bo:
zwolnienie z rejestracji GIODO dotyczy tylko przypadków prowadzenia rejestru przez zarejestrowanego ABI,
jeśli w zbiorach przetwarzane są dane wrażliwe, to zarejestrowanie u ABI nie wystarczy, bo i tak trzeba wypełnić obowiązek zgłoszenia GIODO,
13
Część I – Ogólne zasady ochrony danych osobowych
Nowości przy rejestracji zbiorów danych
w przypadku ABI ponownie zgłoszonego (po uprzednim wykreśleniu) do rejestru administratorów bezpieczeństwa informacji zwolnienie z obowiązku rejestracji stosuje się dopiero po wpisaniu zgłoszonego ABI do tego rejestru.
Rejestr ABI
Powołanie w szkole ABI wiąże się z koniecznością zgłoszenia tej osoby do re-jestracji. Zgodnie z przepisami ustawy o ochronie danych osobowych GIODO ma prowadzić ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, do którego dyrektorzy szkół będą zgłaszać wyznaczonych przez siebie ABI. Wzory zgłoszeń powołania i odwołania zostały określone w rozpo-rządzeniu.Na podstawie art. 46b uodo administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie lub odwołanie administratora bezpieczeństwa informacji w terminie 30 dni. Ustawa określa również zakres zgłaszanych infor-macji. Zgłoszenie powołania ABI do rejestracji powinno zawierać:
oznaczenie administratora danych i adres jego siedziby lub miejsca za-mieszkania, w tym numer identyfi kacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
dane administratora bezpieczeństwa informacji:– imię i nazwisko,– numer PESEL lub gdy ten numer nie został nadany, nazwę i numer doku-
mentu stwierdzającego tożsamość,– adres do korespondencji, jeżeli jest inny niż adres, o którym mowa
w pkt 1;– datę powołania;
oświadczenie administratora danych o spełnianiu przez administratora bez-pieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7.
Zgłoszenie odwołania natomiast powinno ponadto zawierać datę i przyczynę odwołania. Administrator danych jest także zobowiązany w terminie 14 dni zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa w art. 46b ust. 2 uodo. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania ABI.Na żądanie ABI lub administratora danych GIODO wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. Do celów doku-mentacyjnych i dowodowych rekomenduje wystąpienie do GIODO o wydanie tego zaświadczenia. Znowelizowana ustawa o ochronie danych osobowych określa także zasady wykreślania ABI z rejestru. Warto przy tym pamiętać, że po wykreśleniu konieczne będzie zgłoszenie do rejestracji GIODO tych zbiorów, które dotychczas korzystały ze zwolnienia wynikającego z funkcjono-wania w szkole administratora bezpieczeństwa informacji.
Rozszerzenie kom-petencji General-nego Inspektora Ochrony Danych Osobowych (GIODO)
Administrator bezpieczeństwa informacji co najmniej raz w roku powinien przeprowadzić sprawdzenie zgodności przetwarzania danych osobowych w jednostce z przepisami. Z tego narzędzia korzystać ma przede wszystkim ad-ministrator danych – ma mu ono służyć do uzyskania wiedzy o stanie ochrony danych osobowych w placówce. Z instytucji tej jednak skorzysta też GIODO, dla którego sprawdzenie prowadzone przez ABI może być wsparciem w dzia-łalności kontrolnej. Poprzez ten instrument GIODO zyskuje bowiem kontakt z podmiotem (ABI), który z uwagi na swą niezależność i profesjonalizm zapewnia wysoki poziom współpracy. W art. 36c uodo określono elementy sprawozdania opracowanego w wyniku sprawdzenia.Zgodnie z dodanym do ustawy o ochronie danych osobowych art. 19b GIODO może zwrócić się do ABI o sprawdzenie u administratora danych, który go
14
Przewodnik po ochronie danych osobowych
Rozszerzenie kom-petencji General-nego Inspektora Ochrony Danych Osobowych (GIODO)
powołał, zgodności przetwarzania danych osobowych z przepisami, wskazując jego zakres i termin. Po dokonaniu tego sprawdzenia ABI – za pośrednic-twem administratora danych, czyli w szkole/przedszkolu za pośrednictwem jej dyrektora – przedstawia GIODO sprawozdanie, takie jakie zwykle sporzą-dzać ma dla administratora danych. Sprawdzenie to ma mieć m.in. charakter prewencyjny i w efekcie ma oddalać ewentualną kontrolę w danej placówce przez GIODO. Ustawa przewiduje jednak, że przeprowadzenie sprawdzenia przez ABI na żądanie GIODO nie wyklucza prawa Generalnego Inspektora do przeprowadzenia kontroli.
Nowe uregulowania będą miały wpływ na kształt systemu ochrony danych osobowych u każdego administratora danych, dotyczą więc również placówek oświatowych zobo-wiązanych do stosowania przepisów ustawy o ochronie danych osobowych. Nowelizacja może oznaczać konieczność zmian w dotychczasowej dokumentacji.
Bez względu na to, czy dyrektor zdecyduje się powołać ABI, czy też nie, zasadna jest analiza prowadzonej dokumentacji techniczno-organizacyjnej, czyli Polityki bezpieczeń-stwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarza-nia danych osobowych. Należy albo wprowadzić do nich postanowienia o powołaniu administratora bezpieczeństwa informacji i jego kompetencjach, albo zaznaczyć, że ad-ministrator danych nie powołuje ABI i samodzielnie zapewnia przestrzeganie przepisów o ochronie danych osobowych.
Jeśli dyrektor szkoły zdecyduje się powołać ABI, powinien ten fakt udokumentować. Wyznaczenie administratora bezpieczeństwa informacji może nastąpić zarówno w dro-dze zarządzenia, jak i poprzez omówione już wprowadzenie w Polityce bezpieczeństwa odpowiednich postanowień, z których wynikać będzie, że osoba zajmująca dane stano-wisko pełni tę funkcję. W związku z działalnością ABI w szkole pojawią się sprawozda-nia dokumentujące sprawdzanie przez niego zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto nowymi dokumentami będą kopie zgłoszeń powołania bądź odwołania ABI czy kopie zaświadczeń o zarejestrowaniu, wyni-kające z obowiązku zarejestrowania administratora bezpieczeństwa informacji u GIODO.
Przetwarzanie danych osobowych w placówce oświatowej, niezależnie czy jest to pla-cówka publiczna, czy niepubliczna, jest jednym z podstawowych procesów w niej zacho-dzących. Zebrane informacje, zarówno te dotyczące uczniów, wychowanków, jak i ich rodziców, stanowią fundament jej funkcjonowania. Ponadto stale rosnąca wśród społe-czeństwa świadomość ochrony danych osobowych jest sygnałem dla podmiotów prze-twarzających dane do szczególnego zwrócenia uwagi na tę kwestię. Dlatego też tak ważne jest to, aby proces ten był legalny, dostęp do danych mieli jedynie upoważnieni pracow-nicy, a wszystkie zebrane dane zostały należycie zabezpieczone.
Obecnie obowiązujące przepisy zapewniają, w większości przypadków, skuteczną ochronę danych. Oczywiście zdarza się, że dyrektorzy czy nauczyciele nie znajdują od-powiedzi na nurtujące ich pytania w obowiązujących przepisach prawa. Dlatego ma-teriał ten ma za zadanie usystematyzować kwestie związane z przetwarzaniem danych osobowych dzieci, wychowanków, ich rodziców, nauczycieli i pracowników niepedago-
