Urząd Miasta Lublin. BI-BE-II Lublin, 21 lutego 2020 r. 1. Status podmiotów zaangażowanych w organizacje konkursów.

Pełen tekst

(1)

Biuro Bezpieczeństwa Informacji

ul. Kowalska 4, 20-115 Lublin, tel.: +48 81 466 1770

ePUAP: /UMLublin/SkrytkaESP, e-mail: bbi@lublin.eu, www.um.lublin.eu

BI-BE-II.142.5.2.2020 Lublin, 21 lutego 2020 r.

Dyrektorzy Szkół i Placówek Oświatowych dla których organem prowadzącym jest Gmina Lublin

Szanowni Państwo,

W związku z licznymi wątpliwościami dotyczącymi organizacji przez szkoły konkursów, turniejów i innych podobnych wydarzeń (dalej jako: konkurs) adresowanych do uczestników z różnych jednostek oświatowych (konkursy o zasięgu międzyszkolnym, regionalnym, wojewódzkim itp.) przekazuję następujące informacje związane z przetwarzaniem danych osobowych na potrzeby ich przeprowadzenia. Ze względu na różnorodność konkursów, poniższe wyjaśnienia mają charakter ogólny, które należy uwzględnić już na etapie tworzenia koncepcji konkursu, a następnie odzwierciedlić w regulaminach, gromadzonych oświadczeniach, formularzach zgłoszeniowych oraz klauzulach informacyjnych związanych z konkursami.

1. Status podmiotów zaangażowanych w organizacje konkursów.

Punktem wyjścia do określenia statusu oraz zakresu obowiązków podmiotów zaangażowanych w organizację konkursów jest wskazanie administratora danych osobowych uczestników. W świetle art. 4 pkt 7 RODO1 administratorem jest jednostka lub inny podmiot, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W praktyce może zaistnieć przypadek, w którym konkurs jest organizowany przez większą liczbę podmiotów, wspólnie ustalających cele i sposoby przetwarzania danych osobowych. W takim przypadku, gdy ww. podmioty rzeczywiście będą przetwarzać dane osobowe, zgodnie z art. 26 RODO określana jest jako

„współadministrowanie”.

Współadministratorzy, w drodze wspólnych uzgodnień, w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełnienia obowiązków w

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. W sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej L 119/1).

(2)

szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art 13 i 14 RODO. W ww. uzgodnieniach reguluje się również relacje pomiędzy współadministratorami a podmiotami, których dane dotyczą.

W przypadku zlecenia przez administratora/współadministratorów wykonania określonych usług przy realizacji konkursu, które wiążą się z przekazaniem danych osobowych (np. druk dyplomów, grawerowanie napisów na nagrodach itp.) firmie zewnętrznej, dochodzi do powierzenia przetwarzania danych, co skutkuje koniecznością zawarcia umowy powierzenia przetwarzania danych, zgodnie z załącznikiem nr 1 do Polityki Bezpieczeństwa Informacji Jednostki Organizacyjnej Gminy Lublin.

Istotną rolę odgrywają w procesie organizacji konkursów również inne podmioty zwane odbiorcami, o których mowa w art. 4 pkt. 9 RODO. Odbiorcą jest zatem osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Przykładem odbiorcy podczas organizacji konkursu może być Kuratorium Oświaty, UM Lublin i inne organy administracji publicznej uprawnione do uzyskania takich informacji na podstawie przepisów prawa lub podmioty, którym administrator powierza przetwarzanie danych.

Rekomendacje:

• Na etapie planowania przedsięwzięcia, należy dokładnie określić rolę i zakres odpowiedzialności każdego z podmiotów zaangażowanych w jego realizację, mając na względzie przetwarzanie danych osobowych (z uwzględnieniem podziału na: administratora danych, podmioty przetwarzające, odbiorców oraz ewentualnych współadministratorów).

• W przypadku zaistnienia instytucji współadministrowania, w drodze wspólnych uzgodnień, należy określić odpowiednie zakresy odpowiedzialności współadministratorów dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do obowiązków wykonywanych wobec osoby, której dane dotyczą (w tym obowiązku informacyjnego) i przysługujących jej praw. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą, np. w regulaminie konkursu.

• W razie konieczności zawrzeć umowę powierzenia przetwarzania danych z podmiotem/podmiotami zewnętrznymi wykonującymi usługi w imieniu administratora, którym towarzyszy powierzenie przetwarzanie danych osobowych.

• W klauzuli informacyjnej szczegółowo wymienić odbiorców danych zaangażowanych w organizowany konkurs.

(3)

2. Podstawy prawne przetwarzania danych.

a) zgoda na przetwarzanie danych osobowych (art. 6 ust. 1 lit. a RODO)

Administrator jest odpowiedzialny za legalność przetwarzania danych. Warunkiem legalności organizowanych konkursów międzyszkolnych jest uzyskanie odpowiednich zgód od uczestników (jeżeli są pełnoletni) lub ich rodziców/opiekunów prawnych w przypadku uczestników niepełnoletnich, zgodnie z art. 6 ust. 1 lit a RODO.

W przypadku, gdy uczestnicy wydarzenia są fotografowani, bądź nagrywane są filmy z ich udziałem w celu późniejszego rozpowszechniania ich wizerunku, konieczne jest pobranie od uczestników lub ich rodziców/opiekunów prawnych odpowiednich zgód w tym zakresie. Należy zwrócić uwagę na fakt, iż zgodnie z art. 81 ust. 2 pkt 2 ustawy o prawie autorskim i prawach pokrewnych2, „Zezwolenia nie wymaga jedynie rozpowszechnianie wizerunku:

osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych;

osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza”.

Należy zatem stwierdzić, że pobieranie zgód na przetwarzanie wizerunku w postaci zdjęć czy filmów wideo nie jest konieczne, kiedy osoba której dane dotyczą stanowi element tła uwiecznionego na zdjęciu/filmie. Pamiętać również należy o tym, aby uwieczniony na fotografii/nagraniu wideo wizerunek osoby nie naruszał jej dóbr osobistych czy prawa do prywatności. Uczestnik konkursu, bądź jego rodzice/opiekunowie prawni wyrażając zgodę na publikację wizerunku powinni posiadać wiedzę o dokładnym miejscu upublicznienia zdjęć/nagrań wideo (np. strona internetowa szkoły, oficjalny profil Facebook, YouTube, kroniki szkolne, gazetki itp.).

b) realizacja obowiązku ciążącego na administratorze danych (art. 6 ust. 1 lit. c RODO).

Po przeprowadzeniu konkursu podstawą prawną przetwarzania danych osobowych przez administratora staje się realizacja obowiązku archiwizacyjnego, zgodnie z przepisami ustawy o narodowym zasobie archiwalnym i archiwach3 oraz opracowanymi na jej podstawie: instrukcją kancelaryjną określającą szczegółowe zasady i tryb wykonywania czynności kancelaryjnych; Jednolitego Rzeczowego Wykazu Akt oraz instrukcją w sprawie organizacji i zakresu działania archiwum zakładowego lub składnicy akt. Dla jednostek oświatowych miasta Lublin zobowiązanych do stosowania zarządzenia Prezydenta Miasta Lublin w sprawie

2 Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych ( Dz. U. 1994 nr 24 poz. 83).

3Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553)

(4)

wprowadzenia normatywów kancelaryjno-archiwalnych4(wykaz tych podmiotów został ujęty w załączniku nr 4 do niniejszego zarządzenia) dokumenty te zostały opracowane zbiorczo. W przypadku pozostałych jednostek oświatowych dokumenty te są określane indywidualnie w porozumieniu z Naczelnym Dyrektorem Archiwów Państwowych.

Rekomendacje:

Na etapie pozyskiwania wszelkich oświadczeń w przedmiocie wyrażenia zgody należy zapewnić warunki jej udzielenia, zgodnie z art. 7 RODO tj.

a) rozliczalność pozyskania zgody (administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych);

b) dobrowolność (od zgody na przetwarzanie danych nie może być uzależniony udział w konkursie, jeśli przetwarzanie danych osobowych nie jest niezbędne do uczestnictwa w nim);

c) konkretność (zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii);

d) jednoznaczność składanego oświadczenia (zapytanie o zgodę musi być sformułowane zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem);

e) świadomość (osoba składająca oświadczenie musi mieć świadomość konsekwencji wyrażonej zgody oraz konsekwencji jej późniejszego cofnięcia);

f) zapewnienie możliwości wycofania zgody (osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem - osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę, wycofanie zgody musi być równie łatwe jak jej wyrażenie).

• W przypadku zamiaru rozpowszechniania wizerunku uczniów za pośrednictwem różnych form udostępniania (np. strona www. jednostki, Facebook, gazetka szkolna itp.) należy osobie składającej oświadczenie zapewnić możliwość dokonania oddzielnego wyboru każdej z tych form np. poprzez zastosowanie w treści formularza pól wyboru.

• Należy również pamiętać, iż w przypadku wykonywania zdjęć lub nagrań wideo na potrzeby konkursu (np. podczas wręczenia nagród) należy spełnić obowiązek informacyjny tj. poinformować o tym fakcie osoby znajdujące się w pomieszczeniu oraz umieścić w ogólnodostępnym i widocznym miejscu

4 Zarządzenie nr 75/4/2017 Prezydenta Miasta Lublin z dnia 19 kwietnia 2017 r. w sprawie wprowadzenia normatywów kancelaryjno-archiwalnych w jednostkach oświatowych miasta Lublin

(5)

klauzulę informacyjną, zawierającą m.in. informacje o przetwarzaniu wizerunku uczestników oraz osób postronnych, które mogą być sfotografowane podczas tego wydarzenia.

• Zweryfikować czas przechowywania dokumentacji – zgodnie z wskazanymi powyżej przepisami. Informację o czasie przetwarzania danych osobowych (w tym o przechowywaniu) należy umieścić w klauzuli informacyjnej.

3. Dokumentacja związana z organizacją konkursu.

Regulamin konkursu;

Regulamin powinien zawierać co najmniej:

• nazwę organizatora (administratora) oraz ewentualnych współorganizatorów (współadministratorów), z wyraźnym wskazaniem kto jest administratorem danych osobowych;

• pełną nazwę organizowanego konkursu;

• informację nt. składu komisji konkursowej;

• adresatów konkursu np. uczniowie szkół podstawowych klasa 1-3 dla których organem prowadzącym jest Gmina Lublin, wychowankowie burs i internatów;

• cele konkursu;

• zasady uczestnictwa, w tym sposób składania zgłoszeń (w przypadku przesyłania plików zawierających dane osobowe przez jednostki oświatowe, dla których organem prowadzącym jest Gmina Lublin należy zapewnić ich szyfrowanie za pomocą hasła, które zostaje przekazane administratorowi za pomocą innego środka transmisji danych np. telefonicznie);

• informację o rozstrzygnięciu konkursu i nagrodach.

Formularz zgłoszeniowy:

• Podczas sporządzania formularza zgłoszeniowego należy pamiętać o zasadzie minimalizacji danych z art. 5 pkt 1c RODO, polegającej na pobieraniu danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne do celów, w których są przetwarzane.

Klauzula informacyjna:

• Zgodnie z art. 13 i 14 RODO, administrator zobowiązany jest spełnić obowiązek informacyjny względem osób, których dane będą przetwarzane w związku z realizacją konkursu. Klauzulę informacyjną sporządzoną na podstawie art. 13 należy przekazać, gdy dane osobowe zbierane są bezpośrednio od osoby której dotyczą (np. uczestnika konkursu lub jego rodziców/opiekunów prawnych). Natomiast obowiązek informacyjny wynikający z art. 14 winien być spełniony, gdy dane osobowe pozyskiwane są w sposób inny niż od osoby, której dane dotyczą (np. od nauczyciela, wychowawcy, szkoły). Zakres przekazywanych informacji poszerza się w tym przypadku o kategorie przetwarzanych danych oraz o źródło ich

(6)

pozyskania. Przykładowe klauzule informacyjne, wraz z objaśnieniami (w komentarzach), stanowią załączniki do niniejszego pisma.

• Klauzula informacyjna może być elementem składowym formularza zgłoszeniowego lub regulaminu konkursu. W tym przypadku uczestnik/rodzic/opiekun prawny wyrażając nw. zgody podpisuje na formularzu oświadczenie o zapoznaniu się z regulaminem i klauzulą informacyjną. Możliwe jest również podpisywanie oświadczeń o zapoznaniu się z treścią klauzuli, bezpośrednio pod jej treścią. Niemniej jednak rozwiązanie takie zwiększa ilość podpisów, które musi złożyć uczestnik lub rodzic/opiekun prawny. Dlatego też zalecane jest połączenie oświadczenia w tej sprawie na jednym formularzu z oświadczeniem o zapoznaniu się z regulaminem, zgodnie z wzorami załączonymi do niniejszego pisma (dodatkowe objaśnienia do oświadczeń w komentarzach).

Niezbędne oświadczenia i zgody:

• oświadczenie o zapoznaniu się z regulaminem konkursu i akceptacji jego warunków;

• oświadczenie o zapoznaniu się z treścią klauzuli informacyjnej;

• zgoda rodzica/opiekuna prawnego na udział osoby niepełnoletniej w konkursie;

• zgoda na przetwarzanie danych osobowych w zakresie realizacji konkursu;

• zgoda na rozpowszechnianie wizerunku, wraz ze wskazaniem miejsc publikacji (jeżeli będą wykonywane zdjęcia lub nagrywany materiał video).

Rekomendacje:

• W treści klauzuli informacyjnej udostępnianej przez organizatora konkursu należy ująć informację o dobrowolności wyrażenia zgód oraz prawach przysługujących osobie, której dane dotyczą powinny zostać przekazane.

Przykładowe wzory oświadczeń i zgód stanowią załączniki do niniejszego pisma.

• Do przetwarzania danych gromadzonych podczas organizacji konkursu mogą być dopuszczeni wyłącznie pracownicy, posiadający stosowne upoważnienie do przetwarzania danych osobowych wydane przez administratora (wzór upoważnienia zawiera załącznik nr 6 do Polityki Bezpieczeństwa Informacji).

Dyrektor

Biura Bezpieczeństwa Informacji Witold Przeszlakowski

(dokument w postaci elektronicznej podpisany kwalifikowanym podpisem elektronicznym

Załączniki:

1. oświadczenia rodzica/opiekuna prawnego uczestnika konkursu 2. oświadczenia pełnoletniego uczestnika konkursu

3. klauzula informacyjna art. 13 RODO

(7)

4. klauzula informacyjna art. 14 RODO

Obraz

Updating...

Powiązane tematy :