Zapisz się do newslettera
 

Informacje dla szkół

Obowiązki dyrektora szkoły z zakresu ochrony danych osobowych

Funkcjonowanie szkół tak, jak i innych placówek sektora oświaty, nie jest możliwe bez wykorzystywania danych osobowych dotyczących nauczycieli, dzieci, ich rodziców oraz opiekunów prawnych, czy też innych pracowników; tym samym podlega rygorom określonym ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.), zwaną dalej uodo lub ustawą. Ustawa ta rozwijając zagwarantowane w art. 51 Konstytucji RP, prawo do ochrony danych osobowych, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawę stosuje się do przetwarzania danych osobowych: w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, jak również w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do identyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest ta, której tożsamość można określić bezpośrednio znając jej np. imię i nazwisko, lub pośrednio w szczególności przez powołanie się na numer identyfikacyjnych albo jedne lub kilka specyficznych czynników określających jest cechy m.in. fizyczne, fizjologiczne, kulturowe czy społeczne.
Dane osobowe zostały zaś zdefiniowane w art. 6 uodo, dosyć szeroko, jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, pozwalające na określenie tożsamości tej osoby. Możliwa do zidentyfikowania jest taka osoba, której tożsamość można określić bezpośrednio lub pośrednio, zwłaszcza poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Ustawa oprócz tzw. danych zwykłych (np. imię, nazwisko, adres zamieszkania, data urodzenia, nr PESEL, numer telefonu, itp.), wyodrębnia dane szczególnie chronione (wrażliwe), których zamknięty katalog został określony w art. 27 ust. 1. Są to: dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, skazań, orzeczeń o ukaraniu i mandatach karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Co ważne, przetwarzanie danych wrażliwych wiąże się z koniecznością spełnienia dodatkowych gwarancji.

„Dyrektorom szkół radziłbym dobrze zapoznać się z przepisami ustawy o ochronie danych osobowych, bo świetnie znają prawo oświatowe, ale ich wiedza na temat przetwarzania danych osobowych nie zawsze jest taka duża. A ustawa obowiązuje w każdej placówce oświatowej, zarówno w małej wiejskiej szkole, jak i placówce dużej, położonej w centrum metropolii – i to niezależnie od tego, czy jest ona rowadzona przez państwo, gminę czy stowarzyszenie” dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych w rozmowie z Haliną Drachal, Głos Nauczycielski nr 43 z 27 października 2010, s. 9.
Realizacja zasad przetwarzania danych osobowych jest przede wszystkim obowiązkiem administratora danych, którym zgodnie z art. 7 pkt 4 ustawy, jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Bardzo często o tym, kto jest administratorem danych decydują przepisy szczególne. Z taką sytuacją co do zasady mamy do czynienia w przypadku szkoły. . Oznacza to, że kierujący i reprezentujący ją dyrektor ma zapewnić w kierowanej przez siebie placówce zgodność z prawem przetwarzania danych osobowych, jak również ponosi odpowiedzialność za działania wszystkich osób upoważnionych do przetwarzania danych. Warto zauważyć, że obowiązki nałożone przez ustawę na szkoły i kierujących nimi dyrektorów, nie powinny być sprowadzane jedynie do wymogów o charakterze formalnym, których naruszenie może rodzić odpowiedzialność administracyjną, karną, dyscyplinarną, czy cywilnoprawną, lecz również powinny być widziane szerzej jako element dobrego zarządzania placówką, w tym budowania odpowiednich relacji z rodzicami uczęszczających do niej uczniów.

Administratorem danych osobowych uczniów jest ten, kto decyduje o celach i środkach przetwarzania danych czyli szkoła, którą reprezentuje dyrektor szkoły.

Zgodnie z art. 26 ust. 1 ustawy, szkoła, w tym kierujący nią dyrektor, muszą dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a co za tym idzie, jest zobowiązany do przestrzegania następujących zasad:

  1. legalności — dane mają być przetwarzane zgodnie z przepisami prawa, w szczególności po spełnieniu jednej z przesłanek legalności wymienionych w art. 23 ust. 1 lub art. 27 ust. 2 ustawy;
  2. celowości — dane powinny być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu, jeśli jest to niezgodne z tymi celami — przetwarzanie danych w celu innym niż ten, dla którego zastały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (art. 26 ust. 2 ustawy) lub z zachowaniem przepisów dotyczących dopuszczalności przetwarzania danych (art. 23) i spełnieniem obowiązku informacyjnego, w przypadku zbierania danych nie od osoby, której dotyczą (art. 25);
  3. merytorycznej poprawności — dane powinny być merytorycznie poprawne i aktualne;
  4. adekwatności — dane powinny być adekwatne w stosunku do celów, w jakich są przetwarzane, tj. ich zakres nie może wykraczać poza to, co jest niezbędne do osiągnięcia tych celów, dane nie mogą być zbierane „na zapas”;
  5. ograniczenia czasowego — dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie mogą być przetwarzane dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania.

Szkoła jest jednocześnie zobowiązana do:

  • spełnienia wobec osób, których dane dotyczą, obowiązku informacyjnego, o którym mowa w art. 24 (gdy dane są zbierane bezpośrednio od tych osób) lub w art. 25 ustawy (gdy dane są zbierane z innych źródeł);
  • zabezpieczenia danych osobowych poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, tak aby: nie były udostępniane osobom nieupoważnionym, zabrane przez osobę nieuprawnioną, a także były zabezpieczone przed uszkodzeniem, zniszczeniem lub utratą;
  • zgłoszenia zbioru (zbiorów) danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1–11 ustawy. Z obowiązku zgłoszenia zbiorów do rejestracji m.in. zwolnieni są administratorzy prowadzący zbiory danych osobowych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Treść przepisów rozporządzenia Ministra Edukacji Narodowej z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz.U. Nr 23, poz. 225 ze zm.), wskazuje, że dane rodziców, jako opiekunów prawnych, są przyporządkowane danym dzieciom, mają wobec nich charakter wtórny i są przetwarzane jedynie na potrzeby edukacji dzieci. A zatem, skoro w zbiorze przetwarzane są dane osób uczących się, a tak właśnie przepisy traktują dane uczęszczających do szkoły dzieci, to zbiór ten nie podlega obowiązkowi zgłoszenia do rejestracji. Również zbiór rodziców i opiekunów prawnych dzieci, jako jedynie pomocniczy, ściśle związany ze zbiorem danych dzieci, traktowany jest jako zbiór zwolniony z obowiązku zgłoszenia do rejestracji. Natomiast rejestrowane przez Generalnego Inspektora są najczęściej następujące zbiory prowadzone przez szkoły: rejestry uczniów realizujących obowiązek szkolny w innych placówkach, archiwa szkolne, zbiory dotyczące zamówień publicznych, czy też upoważnień do odbioru dzieci ze świetlicy szkolnej;
  • respektowania praw osób, których dane dotyczą, do kontroli przetwarzania ich danych w trybie i na zasadach określonych w rozdziale 4 ustawy, pt.: „Prawa osoby, której dane dotyczą” (osoby te, do których również należą dzieci, rodzice, czy nauczyciele, mogą domagać się uzyskania informacji określonych w art. 32 ust. 1 pkt 1–5a ustawy, m.in. czy zbiór danych istnieje, ustalenia administratora danych i adresu jego siedziby, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych oraz informacji o czasie przetwarzania i źródle, z którego pochodzą, sposobie udostępniania danych innym odbiorcom, żądania uzupełnienia, uaktualnienia, sprostowania, a nawet czasowego lub stałego wstrzymania przetwarzania danych, jeżeli są one nieaktualne, niekompletne, nieprawdziwe lub zostały zebrane z naruszeniem prawa albo są już zbędne do realizacji celu, dla którego były zebrane).Osoby te mają prawo do sprzeciwu wobec przetwarzania danych w celach marketingowych lub przekazania ich innemu administratorowi, gdy odbywa się to w celu wykonania określonych prawem zadań realizowanych dla dobra publicznego lub dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo ich odbiorców, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Stosownie do art. 35 ust. 1 ustawy, w razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy, albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.
Przykład klauzuli informacyjnej

Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz.U. z2002 r. nr101, poz. 926 ze zm.) informuję, iż administratorem Pani/Pana danych osobowych jest Szkoła Podstawowa Nr …. z siedzibą w Warszawie przy ul Kwiatowej 1. Pani/Pana dane osobowe przetwarzane będą w celu realizacji Programu X i nie będą udostępniane innym odbiorcom. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania. Podanie danych osobowych jest dobrowolne.

Przetwarzanie danych stanowią czynności na danych osobowych, w szczególności: zbieranie, utrwalanie, opracowywanie, zmienianie, udostępnianie, usuwanie, przechowywanie (archiwizowanie), operacje wykonywane w systemach informatycznych. Każda operacja przetwarzania danych osobowych wymaga wykazania odpowiedniej podstawy prawnej. Czyli odpowiednią podstawę prawną musi mieć zarówno ich zbieranie, przechowywanie lub udostępnianie innym podmiotom.

W odniesieniu do danych zwykłych może się to odbywać jedynie na podstawie art. 23 ust. 1 ustawy, czyli jest dopuszczalne tylko wtedy, gdy:
  • osoba, której dane dotyczą, wyrazi na to zgodę; W myśl art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda może być odwołana w każdym czasie. Z definicji tej nie wynikają szczegółowe zasady formułowania klauzul zgody, jednakże podkreśla się, że z treści klauzul zgody na przetwarzanie danych osobowych powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi;
  • jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
  • jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy;
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów albo odbiorców danych, a przetwarzanie danych nie narusza praw i wolności
  • osoby, której one dotyczą.

Każda z tych przesłanek jest autonomiczna i może stanowić samodzielną podstawę przetwarzania danych osobowych.

Przetwarzanie danych szczególnie chronionych, co do zasady jest zabronione, za wyjątkiem sytuacji określonych w art. 27 ust. 2 ustawy np. gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie (art. 27 ust. 2 pkt 2 i 5). Przetwarzanie danych szczególnie chronionych jest także dopuszczalne za pisemną zgodą osób, których dane dotyczą (art. 27 ust. 2 pkt 1 ustawy).

Co do zasady dyrektor szkoły przetwarza dane osobowe dzieci, rodziców, nauczycieli, czy też innych pracowników na podstawie przepisów prawa, które w sposób szczególny regulują różne kwestie związane z funkcjonowaniem systemu oświaty. Będą to przede wszystkim przepisy:

  • ustawy z dnia 7 września 1991 r. o systemie oświaty
    (Dz. U. z 2004 r. Nr 256, poz. 2572 ze zm.),
  • ustawy z dnia 26 stycznia 1982 r. Karta Nauczyciela
    (Dz.U. z 2006, Nr 97, poz. 674 ze zm.)
  • ustawy z dnia 19 lutego 2004 r. o systemie informacji oświatowej
    (Dz. U. Nr 49, poz. 463 ze zm.)
  • oraz aktów wykonawczych do ww. ustaw.

Przetwarzanie dany osobowych dzieci oraz ich rodziców odbywa się na podstawie przepisów ustawy o systemie oświaty oraz rozporządzenia w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji.

Mogą jednak zaistnieć okoliczności, w których przetwarzanie danych dzieci lub rodziców jest dopuszczalne na podstawie zgody, a nawet taka zgoda jest wymagana. Przykładem może być przetwarzanie danych rodziców w szerszym zakresie niż przewidują to przepisy prawa (np. adres poczty elektronicznej) w celu umożliwienia z nimi łatwiejszego kontaktu, czy umieszczenie wizerunku dzieci na stronie internetowej. Tak samo umieszczenie na tablicy ogłoszeń w szkole listy osób zalegających z płatnościami nie jest dopuszczalne bez wyrażenia przez nie zgody na taką formę udostępnienia ich danych osobowych.

Podstawę prawna przetwarzania przez dyrektora szkoły danych osobowych nauczycieli statuują przepisy ustawy – Karta nauczyciela. Dla przykładu Karta nauczyciela wprowadza procedury postępowania w sprawie nadania odpowiedniego stopnia awansu zawodowego, a rodzaj dokumentacji załączanej do wniosku nauczyciela o podjęcie postępowania kwalifikacyjnego, jak również zakres wymagań do poszczególnych stopni awansu zawodowego określa rozporządzenie Ministra Edukacji i Sportu z dnia 1 grudnia 2004 r. w sprawie uzyskiwania stopni awansu zawodowego przez nauczycieli (Dz. U. z 2004 r. Nr 260 poz. 2593 ze zm.).

W odniesieniu do innych pracowników szkoły prowadzonego przez organy samorządu terytorialnego podstawami przetwarzania danych będą przepisy o pracownikach samorządowych, jak również ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 1998 r. Nr 21, poz. 94 ze zm.). Zgodnie z treścią art. 221 Kodeksu pracy, pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych jedynie w ograniczonym zakresie. Podobna sytuacja dotyczy osób już zatrudnionych. Możliwość żądania danych osobowych w szerszym zakresie jest dopuszczalna, jeżeli obowiązek podania takich danych wynika z odrębnych przepisów. W konsekwencji niezgodne z prawem jest pozyskiwanie przez dyrektorów szkół danych w szerszym zakresie niż wynikający z przepisów prawa pracy (np. nazwisko rodowe matki pracownika, czy oświadczenie o niekaralności).

Niejednokrotnie w odniesieniu do przetwarzania danych osobowych w szkole dochodzi do tzw. powierzenia przetwarzania danych osobowych np. wtedy, gdy obsługa administracyjna, finansowa i organizacyjna szkoły przekazana została jednostkom ekonomiczno – administracyjnym utworzonym przez organy prowadzące szkoły. W związku z tym ich dyrektorzy przekazują tym jednostkom informacje o nauczycielach i innych pracownikach w celu naliczenia wynagrodzeń, prowadzenia spraw kadrowych. Innym przykładem będzie zlecenie podmiotom zewnętrznym wykonania legitymacji służbowych nauczycieli, z czym może wiązać się udostępnienie danych dotyczących nauczycieli. Wreszcie wraz ze zwiększeniem popularności dzienników elektronicznych ich prowadzenie zleca się wyspecjalizowanym podmiotom zewnętrznym. W tych wszystkich sytuacjach dochodzi do udostępnienia danych innym podmiotom na zasadzie zlecenia. Zgodnie z art. 31 uodo, jest to dopuszczalne na podstawie umowy zawartej na piśmie. Podmiot, któremu zlecono takie operacje, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie oraz jest zobowiązany do odpowiedniego zabezpieczenia danych zgodnie z przepisami o ochronie danych osobowych. Z perspektywy dyrektora szkoły bardzo ważne jest to, że w takiej sytuacji nadal spoczywa na nim odpowiedzialność za przestrzeganie przepisów ustawy, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Równie ważnym obowiązkiem, jak zapewnienie legalności przetwarzania danych osobowych jest ich właściwe zabezpieczenie, zgodnie z przepisami rozdziału 5 ustawy o ochronie danych osobowych. Zgodnie z art. 36 ustawy, szkołą jest obowiązana zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek ten wiąże się z podjęciem działań technicznych oraz organizacyjnych. Jednocześnie – jak pokazuje praktyka – odpowiednie zabezpieczenie danych nie wymaga wdrożenia wyrafinowanych środków technicznych. Niejednokrotnie wystarczające jest zastosowanie środków technicznych, które są powszechnie dostępne, jak również środków organizacyjnych w dużej mierze będących wyrazem zdrowego rozsądku.

Szkołą jest również zobowiązana prowadzić dokumentację opisującą sposób przetwarzania danych, wyznacza także administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. Ustawa przewiduje również (art. 37), że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie nadane przez administratora danych. Ponadto – zgodnie z art. 38 – administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Ten ostatni wymóg odnosi się nie tylko do kwestii bezpieczeństwa, ale również funkcjonalności systemu, w którym będą przetwarzane dane osobowe. Funkcjonalność ta musi bowiem zapewniać administratorowi nie tylko bezpieczeństwo danych, ale również możliwość realizacji przez osoby, których dane dotyczą swoich uprawnień.

Szkoła jest zobowiązana prowadzić ewidencję osób upoważnionych do ich przetwarzania, która — zgodnie z art. 39 ust. 1 uodo — powinna zawierać: imię i nazwisko osoby upoważnionej; datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych; identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Ponadto ustawa (art. 39 ust. 2) zobowiązuje osoby, które zostały upoważnione do przetwarzania danych, do zachowania w tajemnicy zarówno tych danych, jak i sposobów ich zabezpieczenia. Ważne jest, że osoba upoważniona do przetwarzania danych nie może wykorzystywać ich na swoją rzecz i w innych celach. Dla przykładu, nauczyciel nie może wykorzystać danych rodziców w celu zaoferowania im zawarcia umowy ubezpieczenia w ramach prowadzonej dodatkowo działalności agencyjnej. Kwestie związane z właściwym zabezpieczeniem danych osobowych reguluje również rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024), zwane dalej rozporządzeniem. Zgodnie z § 3–5 rozporządzenia, administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Polityka bezpieczeństwa swym zakresem powinna obejmować przetwarzanie danych zarówno w systemach informatycznych, jak i w formie tradycyjnej. Jej celem jest wskazanie działań, jakie należy wykonać oraz reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. Prawidłowe zarządzanie zasobami, w tym również informacyjnymi, zwłaszcza w aspekcie bezpieczeństwa informacji, wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przetwarzania. Wybór odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowanych nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania. Dlatego w § 4 rozporządzenia wskazano, że polityka bezpieczeństwa powinna zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczności przetwarzanych danych.

Jednym z wymogów nałożonych na administratorów danych, zgodnie z § 3 ust. 1 rozporządzenia, jest również opracowanie instrukcji, określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwanej dalej instrukcją. Powinna być ona zatwierdzona przez administratora danych i przyjęta do stosowania jako obowiązujący dokument. Zawarte w niej procedury i wytyczne powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. Na przykład, zasady i procedury nadawania uprawnień do przetwarzania danych osobowych czy też sposób prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych powinny być przekazane osobom zarządzającym organizacją przetwarzania danych; sposób rozpoczęcia i zakończenia pracy, sposób użytkowania systemu czy też zasady zmiany haseł — wszystkim osobom będącym jego użytkownikami; zasady ochrony antywirusowej, a także procedury wykonywania kopii zapasowych — osobom zajmującym się techniczną eksploatacją i utrzymaniem ciągłości pracy systemu. W treści instrukcji powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, zastosowanych rozwiązaniach technicznych, jak również procedurach eksploatacji i zasadach użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Gdy administrator do przetwarzania danych wykorzystuje nie jeden, lecz kilka systemów informatycznych, wówczas — stosownie do podobieństwa zastosowanych rozwiązań — powinien opracować jedną, ogólną instrukcję zarządzania lub oddzielne instrukcje dla każdego z użytkowanych systemów. Zatem inny będzie zakres opracowanych zagadnień w małych podmiotach, w których dane osobowe przetwarzane są przy pomocy jednego lub kilku komputerów, a inny w dużych, w których funkcjonują rozbudowane lokalne sieci komputerowe z dużą liczbą serwerów i stacji roboczych przetwarzających dane przy użyciu wielu systemów informatycznych. W instrukcji powinny być wskazane systemy informatyczne, ich lokalizacje i stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej czy też poprzez sieć telekomunikacyjną, np. łącze dzierżawione, Internet). W odniesieniu do systemów informatycznych ustawa wprowadziła wiele przepisów dotyczących zarówno ich bezpieczeństwa, jak i funkcjonalności. Celem tych regulacji jest zapewnienie, aby systemy informatyczne, używane do przetwarzania danych osobowych, posiadały takie funkcje i mechanizmy, które będą wspomagały administratora w wywiązywaniu się z nałożonych na niego obowiązków. Wymagania te można podzielić najogólniej na dwie grupy. Pierwsza — to wymagania mające na celu zapewnienie ścisłej kontroli nad przetwarzanymi danymi; natomiast druga — to wymagania wynikające z uprawnień osób, których dane są przetwarzane. Należy pamiętać, że z punktu widzenia zakresu obowiązków dyrektora szkoły nie ma znaczenia, czy wykorzystywane systemy informatyczne są prowadzone bezpośrednio w szkole, czy też są zapewniane przez zewnętrznych dostawców, czy organ prowadzący szkołę lub inny organ działający w systemie oświaty. We wszystkich sytuacjach, brak odpowiednich zabezpieczeń w systemach obciąża dyrektora szkoły.

Realizacja obowiązków związanych z ochroną danych osobowych wymaga uwagi w codziennej pracy dyrektorów szkół, jak również wszystkich ich pracowników. Świadomość zasad ochrony danych oraz wdrożenie odpowiednich środków organizacyjno – technicznych, zabezpieczając przed potencjalnymi naruszeniami, które szczególne groźne konsekwencje mogą mieć w środowisku elektronicznym, mogą uchronić przed ponoszeniem odpowiedzialności prawnej, ale również przyczynić się do efektywnego zarządzania informacjami przetwarzanymi w szkole. Niniejsza broszura wskazując na podstawowe obowiązki i zasady ochrony danych osobowych ma za zadanie w tych działaniach pomóc.

Wróć do oferty

Potrzebna pomoc?
Nie czekaj, zadzwoń koniecznie! 505 920 878

Lub napisz do nas:

Masz pytania? Zadzwoń: 505 920 878