ochronA danych osobowych
Download
Report
Transcript ochronA danych osobowych
Warsztat specjalistyczny
Ochrona danych osobowych
w placówce oświatowej
Obowiązki, zadania i uprawnienia dyrektora placówki
2014
Podstawy prawne
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jednolity: Dz. U.
2002 r. Nr 101 poz. 926, z późn. zm.)
Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006r. w sprawie
nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006,
Nr 203, poz. 1494) – art. 13.3 ustawy
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r.
w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura
Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923) –
art. 22a ustawy
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) – art. 39a ustawy
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w
sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony
Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536) – art. 46a ustawy.
2
Ochrona danych osobowych w placówce oświatowej
2014
Podstawy prawne – definicje
Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej, jeżeli jej tożsamość można określić bezpośrednio lub
pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
Indentyfikacyjne
WSZELKIE INFORMACJE
(WIEDZA)
3
• Nazwisko, imię, adres , wiek, wizerunek, podpis
• Pesel, NIP, telefon, mail, IP komputera
Wrażliwe
• Pochodzenie rasowe, etniczne, stan zdrowia, wyznanie
• Nałogi, życie seksualne, orzeczenia sądowe i admin.
Pozostałe
• Wykształcenie, stan majątkowy, tryb życia, nawyki,
• Wyniki w nauce, osiągnięcia sportowe, inne …
Ochrona danych osobowych w placówce oświatowej
2014
Podstawy prawne – definicje
4
Dane wrażliwe – tylko i wyłącznie:
dane o pochodzeniu rasowym lub etnicznym,
poglądach politycznych,
przekonaniach religijnych lub filozoficznych,
przynależności wyznaniowej, partyjnej lub związkowej,
jak również danych o stanie zdrowia,
kodzie genetycznym,
nałogach lub życiu seksualnym
oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych,
a także innych
administracyjnym.
orzeczeń
wydanych
w
postępowaniu
Ochrona danych osobowych w placówce oświatowej
sądowym
lub
2014
Podstawy prawne – definicje
Administrator danych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba,
decydujące o celach i środkach przetwarzania danych osobowych.
Administrator bezpieczeństwa informacji (ABI) - osoba nadzorująca stosowanie środków
technicznych i organizacyjnych przetwarzanych danych osobowych, odpowiednich do
zagrożeń oraz kategorii danych objętych ochroną.
Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i
usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na
przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być
domniemana lub dorozumiana z oświadczenia woli o innej treści.
5
Ochrona danych osobowych w placówce oświatowej
2014
Przetwarzanie danych – art. 23
Przetwarzanie danych jest dopuszczalne, gdy spełniona jest przynajmniej 1 z 5 przesłanek:
1. Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej
danych. Zgoda nie może być domniemana lub dorozumiana.
CEL + ODBIORCY = ZGODA
2. Jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z
przepisu prawa. Ustawa o ochronie danych osobowych określa jedynie ogólne zasady
przetwarzania danych osobowych, zaś, gdy istnieją inne – szczególne wobec ustawy przepisy
prawa - mają one pierwszeństwo stosowania.
3. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy
jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane
dotyczą.
4. Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego.
5. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, np.: marketing
bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie
roszczeń z tytułu prowadzonej działalności gospodarczej.
6
Ochrona danych osobowych w placówce oświatowej
2014
Obowiązek staranności – art.26
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności
w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany
zapewnić, aby dane te były:
przetwarzane zgodnie z prawem,
zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej
niż jest to niezbędne do osiągnięcia celu przetwarzania,
Ilościowa
Czasowa
7
• Tylko dane konieczne do realizacji celu
• Tylko tak długo jak trwa cel
Ochrona danych osobowych w placówce oświatowej
2014
Przetwarzanie danych – art. 27
Przetwarzanie danych jest zabronione w przypadku danych (wrażliwych) ujawniających
pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia,
kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań,
orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w
postępowaniu sądowym lub administracyjnym.
Przetwarzanie tych danych jest jednak dopuszczalne, jeżeli:
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie
dotyczących jej danych,
przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody
osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
8
Ochrona danych osobowych w placówce oświatowej
2014
Obowiązek informacyjny – art.24
W przypadku zbierania danych od osoby, której te dane dotyczą Administrator danych jest
zobowiązany poinformować tę osobę o:
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy Administratorem danych jest
osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub
przewidywanych odbiorcach lub kategoriach odbiorców danych,
prawie dostępu do treści swoich danych oraz ich poprawiania,
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego
podstawie prawnej.
Podanych wyżej zasad nie stosuje się, jeżeli przepis innej ustawy zezwala na przetwarzanie
danych bez ujawniania faktycznego celu ich zbierania lub jeżeli osoba, której dane dotyczą,
posiada już te informacje.
9
Ochrona danych osobowych w placówce oświatowej
2014
Obowiązki Administratora danych
Obowiązek prowadzenia dokumentacji
10
Ochrona danych osobowych w placówce oświatowej
2014
Zabezpieczenia – art. 36 – 39a
Art. 36.1. Administrator danych jest obowiązany zastosować środki techniczne
i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do
zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć
dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem
lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych
oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego
przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba, że sam wykonuje te
czynności.
Ważne: Wyrok WSA w Warszawie z 5 lipca 2012 r., sygn. akt II SA/Wa 630/12
….. w każdej sytuacji, w której struktura organizacyjna administratora danych jest
wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną
odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki
administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych
jest organem, jednostką organizacyjną, podmiotem czy osobą prawną.
11
Ochrona danych osobowych w placówce oświatowej
2014
Zabezpieczenia – art. 36 – 39a
Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych.
Art. 38 Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane
osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39.1. Administrator danych prowadzi ewidencję osób upoważnionych do ich
przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w
tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
12
Ochrona danych osobowych w placówce oświatowej
2014
Zabezpieczenia – art. 36 – 39a
Art. 39a Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem
właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia
i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne
i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych
danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną,
a także wymagania w zakresie odnotowywania udostępniania danych osobowych
i bezpieczeństwa przetwarzanych danych.
13
Ochrona danych osobowych w placówce oświatowej
2014
Rozporządzenie - dokumentacja
§1
Rozporządzenie określa:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych
osobowych oraz środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych
objętych ochroną;
2) …
§3
1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa
i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych, zwana dalej „instrukcją".
2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
14
Ochrona danych osobowych w placówce oświatowej
2014
Schemat dokumentacji
PODSTAWY PRAWNE, ZASADY PRZETWARZANIA DANYCH
ZAGROŻENIA , POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA
- wykazy przetwarzanych zasobów
- środki organizacyjne
- środki techniczne
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
15
Ochrona danych osobowych w placówce oświatowej
2014
Polityka bezpieczeństwa
Polityka bezpieczeństwa, o której mowa w § 3 ust. 1 Rozporządzenia w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) – art. 39a ustawy,
zawiera w szczególności:
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
przetwarzane są dane osobowe;
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych;
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych
i powiązania między nimi;
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
16
Ochrona danych osobowych w placówce oświatowej
2014
Instrukcja systemu informatycznego
Instrukcja, o której mowa w § 3 ust. 1 Rozporządzenia w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) – art. 39a ustawy, zawiera w szczególności:
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te
czynności;
stosowane metody i środki
z ich zarządzaniem i użytkowaniem;
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników
systemu;
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania;
17
uwierzytelnienia
oraz
Ochrona danych osobowych w placówce oświatowej
procedury
związane
2014
Instrukcja systemu informatycznego
Instrukcja, o której mowa w § 3 ust. 1 Rozporządzenia w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) – art. 39a ustawy, zawiera w szczególności:
sposób, miejsce i okres przechowywania:
elektronicznych nośników informacji zawierających dane osobowe,
kopii zapasowych, o których mowa w pkt 4,
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
18
Ochrona danych osobowych w placówce oświatowej
2014
Powierzenie przetwarzania
Powierzenie przetwarzania danych osobowych
19
Ochrona danych osobowych w placówce oświatowej
2014
Powierzenie przetwarzania
Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy
zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu
przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania
danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz
spełnić wymagania określone w przepisach, o których mowa w art.39a. W zakresie
przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie
przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza
odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z
tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1,
z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.
20
Ochrona danych osobowych w placówce oświatowej
2014
Obowiązki Administratora danych
Zgłaszanie zbiorów do ogólnokrajowego jawnego
rejestru danych osobowych
23
Ochrona danych osobowych w placówce oświatowej
2014
Zbiory osobowe w placówkach
Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów
• Rekrutacja
• Dziennik
• Wycieczki
• Pomoc PPP
•…
22
• Kadry i płace
• ZUS
• SIO
• Komisja socjalna
•…
Ochrona danych osobowych w placówce oświatowej
• Najem sal
• Faktury
• Przelewy
• Księgowość
•…
2014
Zgłoszenia zbiorów – art. 40, 41
Art. 40 Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji
Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki
narodowej, jeśli został mu nadany, oraz podstawę prawną upoważniającą do
prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie
tego podmiotu i adres jego siedziby lub miejsce zamieszkania,
3) cel przetwarzania danych,
3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
24
Ochrona danych osobowych w placówce oświatowej
2014
Zgłoszenia zbiorów – art. 40, 41
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać:
4) sposób zbierania oraz udostępniania danych,
4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być
przekazywane,
5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w
art. 36-39,
6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych,
określonych w przepisach, o których mowa w art. 39a,
7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Art. 41. 2. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą
zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w
zbiorze danych. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów
danych.
25
Ochrona danych osobowych w placówce oświatowej
2014
Rejestr zbiorów – art. 42
Art. 42. 1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych
osobowych. Rejestr powinien zawierać informacje, o których mowa w art. 41 ust. 1 pkt 1-4a
i 7.
2. Każdy ma prawo przeglądać rejestr, o którym mowa w ust. 1.
3. Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu
zgłoszonego przez niego zbioru danych, z zastrzeżeniem ust. 4.
4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1,
zaświadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.
25
Ochrona danych osobowych w placówce oświatowej
2014
Zwolnienia zgłoszeń – art. 43
Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) zawierających informacje niejawne,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez
funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego
oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej
Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej,
26
Ochrona danych osobowych w placówce oświatowej
2014
Zwolnienia zgłoszeń – art. 43
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego,
o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku
wyznaniowego,
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na
podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub
uczących się, …
27
Ochrona danych osobowych w placówce oświatowej
2014
Uzasadnienie (źródło: giodo.gov.pl)
Czy prowadzony w postaci papierowej rejestr przychodzących i wychodzących pism jest
zbiorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych i czy
podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
Tak, gdyż jest to zbiór danych w rozumieniu ustawy o ochronie danych osobowych i podlega
zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Aby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy,
wystarczające jest kryterium umożliwiające odnalezienie danych w zestawie. Możliwość
wyszukiwania według jakiegokolwiek kryterium osobowego (np. imię. nazwisko, data
urodzenia, PESEL) lub nieosobowego (data zamieszczenia danych w zbiorze) przesądza o
uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie
tego zestawu jako zbioru danych w rozumieniu art. 7 pkt 1 ustawy.
Skoro zatem ustawa o ochronie danych osobowych ma zastosowanie do omawianego zbioru
danych to zbiór taki podlegać będzie również obowiązkowi rejestracji u Generalnego
Inspektora Ochrony Danych Osobowych, gdyż nie zachodzi żadna z okoliczności go
zwalniających, wymienionych w art. 43 ust. 1 ustawy o ochronie danych osobowych.
28
Ochrona danych osobowych w placówce oświatowej
2014
Uzasadnienie (źródło: giodo.gov.pl)
Czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia zbiorów do
rejestracji Generalnego Inspektora Ochrony Danych Osobowych?
Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych obowiązany
jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych
Osobowych. Wyjątki w tym zakresie przewidziane są w art. 43 ust. 1 ustawy.
Stosownie do pkt 4 powyższego artykułu, z obowiązku rejestracji zbioru danych zwolnieni są
administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im
usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych
lub uczących się. Jeżeli zatem biblioteki prowadzone przez szkoły przetwarzają wyłącznie
dane osób uczących się w nich, zatrudnionych w tych szkołach lub świadczących im usługi
na podstawie umów cywilnoprawnych, to zwolnione są one z obowiązku zgłoszenia do
rejestracji przedmiotowego zbioru danych.
W przypadku, gdy w zbiorach takich znajdą się dane osób innych, niż wymienione w art. 43
ust. 1 pkt 4 ustawy, będą one podlegały obowiązkowi zgłoszenia do rejestracji Generalnemu
Inspektorowi.
29
Ochrona danych osobowych w placówce oświatowej
2014
Uzasadnienie (źródło: giodo.gov.pl)
Czy dyrektor przedszkola ma obowiązek zgłaszać Generalnemu Inspektorowi Ochrony
Danych Osobowych zbiory danych rodziców przedszkolaków?
Nie, gdyż ustawa o ochronie danych osobowych zwalnia administratorów danych takich
zbiorów z obowiązku ich rejestracji.
W myśl art. 43.1 pkt 4 uodo, z obowiązku rejestracji zbioru danych zwolnieni są m. in.
administratorzy danych prowadzący zbiory danych osób u nich uczących się. Treść przepisów
rozporządzenia Ministra Edukacji Narodowej z dnia 19 lutego 2002 r. w sprawie sposobu
prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu
nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji
wskazuje, że dane rodziców, jako opiekunów prawnych, są przyporządkowane danym
dzieciom, mają wobec nich charakter wtórny i są przetwarzane jedynie na potrzeby edukacji
dzieci.
A zatem, skoro w zbiorze przetwarzane są dane osób uczących się, a tak właśnie przepisy
traktują dane uczęszczających do przedszkola dzieci, to zbiór ten nie podlega obowiązkowi
zgłoszenia do rejestracji. Również zbiór rodziców i opiekunów prawnych dzieci, jako jedynie
pomocniczy, ściśle związany ze zbiorem danych dzieci, traktowany jest jako zbiór zwolniony z
obowiązku zgłoszenia GIODO do rejestracji.
30
Ochrona danych osobowych w placówce oświatowej
2014
Uzasadnienie (źródło: giodo.gov.pl)
Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane
u Generalnego Inspektora Ochrony Danych Osobowych?
Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje
wyłączenie z rejestracji.
Stosownie do przepisu art. 40 ustawy o ochronie danych osobowych, administrator danych
jest – co do zasady – zobowiązany zgłosić zbiór danych osobowych do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że zachodzi jedna z
przesłanek zwalniających go z tego obowiązku, określonych w art. 43 ust. 1 tej ustawy.
Ustawa o ochronie danych osobowych zwalnia z tego administratorów danych
przetwarzanych np. w związku z zatrudnieniem u nich (art. 43 ust. 1 pkt 4 ustawy).
Dotyczy to zbiorów aktualnych i byłych pracowników, a także kandydatów do pracy.
31
Ochrona danych osobowych w placówce oświatowej
2014
Zwolnienia zgłoszeń – art. 43
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub
biegłego rewidenta,
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu,
Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów
na Urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta
oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie
niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu
ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
32
Ochrona danych osobowych w placówce oświatowej
2014
Zgłaszanie zbioru
33
Ochrona danych osobowych w placówce oświatowej
2014
Sankcje karne
Sankcje karne nieprzestrzegania przepisów
ustawy o ochronie danych osobowych
34
Ochrona danych osobowych w placówce oświatowej
2014
Sankcje karne
Art. 12. Do zadań Generalnego Inspektora Ochrony Danych Osobowych w szczególności należy:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów o ochronie danych osobowych,
3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych
zbiorach,
4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych,
6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się
problematyką ochrony danych osobowych.
35
Ochrona danych osobowych w placówce oświatowej
2014
Sankcje karne
Art. 14. W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor,
zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej
„inspektorami”, mają prawo:
1) wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i
legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz
pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia
niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności
przetwarzania danych z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w
zakresie niezbędnym do ustalenia stanu faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z
przedmiotem kontroli oraz sporządzania ich kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych
służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
36
Ochrona danych osobowych w placówce oświatowej
2014
Sankcje karne
Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest
dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność
wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do lat 3.
37
Ochrona danych osobowych w placówce oświatowej
2014
Sankcje karne
Art. 50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe
niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do roku.
Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych
osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku.
38
Ochrona danych osobowych w placówce oświatowej
2014
Sankcje karne
Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia
ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji
umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
39
Ochrona danych osobowych w placówce oświatowej
2014
Zmiany w ustawie, od 01.01.2015 r.
Stan obecny
Po zmianach
Konieczność
powołania ABI
Możliwość powołania Administratora bezpieczeństwa informacji (ABI)
Brak regulacji
Szczegółowe regulacje organizacyjne dot. powołania, odwołania ABI
określono wprost w ustawie
Brak regulacji
Administrator danych osobowych ADO, który nie powołał ABI musi sam
nadzorować prowadzenie i aktualizację dokumentacji oraz zapewnić szkolenia
Brak regulacji
ADO, który powołał ABI nie nadzoruje dokumentacji oraz nie musi zapewnić
szkoleń (te zadania przejmuje ABI). ABI przeprowadza dla ADO tzw.
Sprawdzania/kontrole, zgodnie z ustalonym/rocznym harmonogramem,
zakończone sprawozdaniem.
Brak regulacji
ABI może dokonywać sprawdzenia w placówce na polecenie GIODO (GIODO
może też sam kontrolować). Sprawozdanie trafia do GIODO, jeśli
sprawdzenie zlecił GIODO.
Brak regulacji
Prowadzenie rejestru ABI przez GIODO
40
Ochrona danych osobowych w placówce oświatowej
2014
Zmiany w ustawie, od 01.01.2015 r.
Stan obecny
Po zmianach
Art. 43.1 – lista zwolnień
Dodatkowe zwolnienie. Nie zgłasza się zbiorów przetwarzanych
papierowo, z wyjątkiem zbiorów zawierających dane wrażliwe
Art. 43.1 – lista zwolnień
Dodatkowe zwolnienie dla ADO, którzy powołali ABI. Nie zgłasza się
zbiorów przetwarzanych elektronicznie, z wyjątkiem zbiorów
zawierających dane wrażliwe (art. 27.1 u.o.d.o)
Art.48 – nieprecyzyjny
Doprecyzowanie zasad przekazywania danych do państwa trzeciego
Przepis przejściowy
ABI powołany na podstawie obecnych przepisów może pełnić funkcję
do czasu zgłoszenia go do GIODO, nie dłużej jednak niż do 30.06.2015
Przepis przejściowy
Do postępowań rejestracyjnych nie zakończonych przed 01.01.2015r.
mają zastosowanie dotychczasowe przepisy
Brak zadań ABI
Szczegółowe rozporządzenie określające zadania ABI
Brak zasad
organizacyjnych dla ABI
Zasady organizacyjne dla ABI określone zostały wprost w ustawie
41
Ochrona danych osobowych w placówce oświatowej
2014
Zasady organizacyjne ABI (projekt)
Art. 36a ustawy o ochronie danych osobowych.
1. Administrator danych może powołać administratora bezpieczeństwa informacji.
2. Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnienie przestrzegania przepisów o ochronie danych osobowych, w
szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o
ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla
administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art.
36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych
osobowych z przepisami o ochronie danych osobowych,
2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora
danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust.
1 pkt 2–4a i 7
42
Ochrona danych osobowych w placówce oświatowej
2014
Zasady organizacyjne ABI (projekt)
3. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji
wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o
których mowa w ust. 2.
4. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3) nie była karana za przestępstwo popełnione z winy umyślnej.
5. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji,
którzy spełniają warunki określone w ust. 4.
6. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki
organizacyjnej lub osobie fizycznej będącej administratorem danych, którzy zapewniają
środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do
niezależnego wykonywania przez administratora bezpieczeństwa informacji zadań, o których
mowa w ust. 2.
7. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia
zadania ABI.
43
Ochrona danych osobowych w placówce oświatowej
2014
Zadania ABI (projekt)
ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI w sprawie trybu i sposobu
realizacji zadań przez administratora bezpieczeństwa informacji (streszczenie projektu)
1. Sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie
danych osobowych, następuje:
a) gdy zwróci się o to Generalny Inspektor Ochrony Danych Osobowych,
b) cyklicznie na podstawie rocznego programu sprawdzeń, opracowanego przez
ABI i przedłożonego do zatwierdzenia ADO (do końca roku poprzedzającego),
c) doraźnie, jeżeli ABI uzyska informacje wskazujące na występowanie istotnych
zagrożeń naruszenia ochrony danych osobowych, w szczególności
bezpieczeństwa tych danych.
2. Zakres sprawdzenia określa § 6 rozporządzenia.
3. Po przeprowadzeniu sprawdzenia w terminie 14 dni ABI opracowuje
sprawozdanie dla administratora danych z przeprowadzonego sprawdzenia, a
jeżeli zwrócił się o nie GIODO, kopia trafia również do GIODO.
44
Ochrona danych osobowych w placówce oświatowej
2014
Zadania ABI, cd (projekt)
ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI w sprawie trybu i sposobu
realizacji zadań przez administratora bezpieczeństwa informacji (streszczenie projektu)
4. ABI monitoruje na bieżąco zaplanowane procesy przetwarzania danych
osobowych w celu stwierdzenia konieczności opracowania dokumentacji w tym
zakresie.
5. ABI nadzoruje opracowanie dokumentacji i przestrzeganie zasad w niej
określonych
6. ABI monitoruje na bieżąco aktualność dokumentacji. Aktualizacja powinna być
wykonana w terminie 7 dni od dnia wystąpienia zmiany stanu faktycznego w
procesie przetwarzania danych osobowych.
7. ADO przedstawia ABI dokumentację. ABI wnosi na piśmie uwagi lub zastrzeżenia.
8. W przypadku stwierdzenia naruszenia zasad określonych w dokumentacji, ABI
sporządza raport zawierający zakres naruszenia oraz propozycje sposobu jego
usunięcia i przedstawia go ADO.
45
Ochrona danych osobowych w placówce oświatowej
2014
DZIĘKUJĘ
inż. Adam Korzuch
tel. (32) 720-64-34; [email protected]
INTERNET COMMUNITY
46
Ochrona danych osobowych w placówce oświatowej
2014