Bezpieczeństwo danych osobowych www.oferta.novo-szkola.pl
23 listopada 2011 r.
Podstawowe akty prawne regulujące przetwarzanie danych osobowych w szkołach to:
• ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity:
Dz. U. 2002 r. Nr 101 poz. 926 ze zm.) – „Ustawa”,
• rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) – „Rozporządzenie”.
Mają one zastosowanie do wszystkich podmiotów przetwarzających dane osobowe.
Ponadto zasady przetwarzania danych osobowych w placówkach oświatowych określają ustawy regulujące system oświaty.
AKTY PRAWNE DOT. DANYCH OSOBOWYCH
Dwa podstawowe akty prawne dotyczą przetwarzania danych osobowych w szkołach
Dane osobowe to wszelkie informacje o konkretne osobie w formie papierowej i elektronicznej
Art. 6 ust. 1 i 2 Ustawy
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
(wyjaśnienie: danymi osobowymi są zatem także np. numery w dzienniku, adresy itp., nawet bez imienia i nazwiska osoby) (zgodnie z Art. 2 ust. 2 Ustawy chodzi o dane w dowolnej formie, w tym papierowej i elektronicznej)
Szkoły przetwarzają dane osobowe uczniów, rodziców i pracowników
Szkoły przetwarzają dane osobowe uczniów, rodziców oraz innych opiekunów uczniów, a także nauczycieli i pozostałych pracowników szkoły niezależnie od formy zatrudnienia
Przetwarzanie danych obejmuje przechowywanie danych osobowych i wszystkie czynności wykonywane z tymi danymi
Art. 7 ust. 2 Ustawy
Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie
DANE OSOBOWE I ICH PRZETWARZANIE
Ustawa dotyczy ochrony wszelkich informacji o uczniach, rodzicach i pracownikach, w formie papierowej oraz elektronicznej
Administratorem danych osobowych jest zazwyczaj dyrektor szkoły
Art. 7 pkt 4 Ustawy
Administrator danych osobowych - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych
(wyjaśnienie: w przypadku szkół publicznych administratorem danych osobowych jest dyrektor szkoły; w przypadku szkół prywatnych administratorem danych osobowych jest podmiot
prowadzący działalność szkoły)
Administrator danych osobowych odpowiada za spełnienie wymagań Ustawy i Rozporządzenia ADMINISTRATOR DANYCH OSOBOWYCH
Za spełnienie wymagań prawnych dotyczących danych osobowych odpowiada zazwyczaj dyrektor szkoły
Przetwarzanie danych osobowych bez spełnienia wymagań prawnych stanowi przestępstwo:
Art. 49. 1.Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
(wyjaśnienie: Art. 51. 1. to najczęstszy powód wyroków, których liczba wzrosła w ciągu kilku lat kilkukrotnie; ze względu na skargi coraz częstsze są kontrole Generalnego Inspektora Ochrony Danych Osobowych w szkołach)
2.Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52.Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę
nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. (wszedł w życie 07.03.2011 r.)
Odpowiedzialność ponoszą osoby bezpośrednio wykonujące czynności dotyczące przetwarzania danych osobowych oraz przełożeni, na których polecenie przetwarzanie danych się odbywa (Art. 18 § 1 kodeksu karnego).
PRZESTĘPSTWA DOT. DANYCH OSOBOWYCH
Administrator danych osobowych i pracownicy szkoły powinni przetwarzać dane osobowe zgodnie z wymaganiami prawnymi.
Inaczej podlegają karze do pozbawienia wolności do lat 2 włącznie
Dyrektor szkoły powinien mieć możliwość przedstawienia w każdej chwili, kto i kiedy miał dostęp do danych osobowych (np. lista danych adresowych uczniów w formie papierowej jest chroniona w szafie pancernej, a jej udostępnianie jest rejestrowane) KONTROLA DOSTĘPU DO DANYCH OSOBOWYCH
Niezależnie od formy przechowywania danych – papierowej lub elektronicznej – konieczne jest wykazanie, że dostęp do danych osobowych mieli wyłącznie pracownicy szkoły i uprawnione organy
Przykład automatycznej rejestracji w programie, kto oraz kiedy zalogował się i miał dostęp do
danych osobowych
Udostępnianie danych konkretnej osoby powinno być każdorazowo rejestrowane (np. udostępnienie listy 30 uczniów oznacza, że trzeba wykonać 30 takich rejestracji)
Art. 32 ust. 1 pkt 5 Ustawy
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane.
PRZYKŁADY WYMAGAŃ PRAWNYCH (1/3)
Niezależnie od formy przechowywania danych – papierowej lub elektronicznej – prawo wymaga rejestrowania udostępnień danych konkretnej osoby
Przykład automatycznej rejestracji w programie udostępnień danych
konkretnej osoby
Prawo wymaga pamiętania o zarejestrowaniu wszystkich informacji wymienionych w Ustawie, w tym daty rejestracji danych osobowych (np. nie może się zdarzyć sytuacja, że ktoś omyłkowo wpisał rejestrację danych ucznia po dacie rozpoczęcia roku szkolnego)
Art. 32 ust. 1 pkt 3 Ustawy
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące.
PRZYKŁADY WYMAGAŃ PRAWNYCH (2/3)
Niezależnie od formy przechowywania danych – papierowej lub
elektronicznej – prawo wymaga rejestrowania określonych informacji dotyczących przetwarzania danych
Przykład automatycznej rejestracji w programie, od
kiedy przetwarza się dane
konkretnej osoby
Stosowanie odpowiedniego programu do przechowywania danych osobowych
zapewnia, że kontrola przetwarzania danych wymaga jednego wydruku obejmującego wszystkie dane wymagane prawem (Art. 32 ust. 1 pkt 1-9 Ustawy i §7 Rozporządzenia).
PRZYKŁADY WYMAGAŃ PRAWNYCH (3/3)
Niezależnie od formy przechowywania danych – papierowej lub elektronicznej – konieczne jest udostępnienie danych wymienionych w kilku punktach Ustawy na potrzeby kontroli przetwarzania danych
PODSUMOWANIE
Istnieją skuteczne narzędzia – darmowe programy komputerowe do obsługi danych osobowych, które po kilkudniowym, łatwym wdrożeniu w szkole zabezpieczają
pracowników szkoły – dyrekcję, nauczycieli, sekretariat – przed przypadkowymi
uchybieniami względem ochrony i przetwarzania danych osobowych uczniów, rodziców i pracowników szkoły.
