Ochrona danych osobowych w szkole -...

Ochrona danych Ochrona danych

osobowych w szkoleosobowych w szkoleosobowych w szkoleosobowych w szkole

Seminarium szkolnego prawa

Białystok 2013

Geneza powstania ustawy o ochronie danych osobowychGeneza powstania ustawy o ochronie danych osobowych

� Konwencja 108 Rady Europy z dnia 28 stycznia 1981 r.o ochronie osób w zwi ązku z automatycznym przetwarzaniemdanych osobowych

� najstarszy akt prawny o zasi ęgu mi ędzynarodowym, kompleksoworeguluj ący zagadnienia zwi ązane z ochron ą danych osobowych

� nakładaj ący na kraje członkowskie zobowi ązanie stworzeniaustawodawstwa w zakresie ochrony danych osobowych, wskazuj ącyjednocze śnie, w jakim kierunku ustawodawstwo to ma zmierza ć

Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Radyz dnia 24 pa ździernika 1995 r. w sprawie ochrony osóbfizycznych w zakresie przetwarzania danych osobowych orazswobodnym przepływie tych danych

Źródła prawa ochrony danych osobowychŹródła prawa ochrony danych osobowychKonstytucja Rzeczypospolitej Polskiej z dnia 2 kwietni a 1997 r.

(Dz. U. Nr 78, poz. 483 z pó źn. zm.)

art. 47 (prawo do prywatno ści)

Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobregoimienia oraz do decydowania o swoim życiu osobistym.

art. 51 (prawo do ochrony informacji dotycz ących jego osoby)

Nikt nie może być obowiązany inaczej niż na podstawie ustawy doujawniania informacji dotyczących jego osoby

Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innychinformacji o obywatelach niż niezbędne w demokratycznym państwieprawnym

Każdy ma prawo dostępu do dotyczących go urzędowych dokumentówi zbiorów danych. Ograniczenie tego prawa może określić ustawa

Każdy ma prawo do żądania sprostowania oraz usunięcia informacjinieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą

Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Źródła prawa ochrony danych osobowychŹródła prawa ochrony danych osobowych

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych(t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z pó źn. zm .)

Rozporz ądzenie Ministra Spraw Wewn ętrznych i Administracji z dnia29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania dany chosobowych oraz warunków technicznych i organizacyjnych, jak impowinny odpowiada ć urządzenia i systemy informatyczne słu żące doprzetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024 )

Rozporz ądzenie Ministra Spraw Wewn ętrznych i Administracji z dnia22 kwietnia 2004 r. w sprawie wzorów imiennego upowa żnieniai legitymacji słu żbowej inspektora Biura Generalnego InspektoraOchrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923)

Rozporz ądzenie Ministra Spraw Wewn ętrznych i Administracji z dnia11 grudnia 2008 r. w sprawie zgłoszenia zbioru danych do rejestr acjiGeneralnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008r. Nr 229, poz. 1536)

Rozporz ądzenie Prezydenta Rzeczpospolitej z dnia 10 pa ździernika2011 r. w sprawie nadania statutu Biuru Generalnego Inspekt oraOchrony Danych Osobowych (Dz. U. z 2011 r. Nr 225, poz. 1350)

Zakres podmiotowy ustawyZakres podmiotowy ustawy

Podmioty przetwarzaj ące dane

� publiczne – organy pa ństwowe, organy samorz ądu terytorialnego,państwowe i komunalne jednostki organizacyjne

� niepubliczne – realizuj ące zadania publiczne (np. szkoły niepubliczne zuprawnieniami szkół publicznych )

� prywatne – osoby fizyczne, osoby prawne, jednostki organizacyjne niebędące osobami prawnymi, je żeli przetwarzaj ą dane osobowe wzwiązku z działalno ścią zarobkow ą, zawodow ą lub dla realizacji celówstatutowych

Podmioty, których dane osobowe dotycz ą

� osoby fizyczne

Zakres podmiotowy ustawyZakres podmiotowy ustawy

Ustawa o ochronie danych osobowych nie ma zastosowania do:

� osób fizycznych, które przetwarzaj ą dane wył ącznie w celachosobistych lub domowych

� osób nie żyjących

� podmiotów maj ących siedzib ę lub miejsce zamieszkania w pa ństwietrzecim, wykorzystuj ących środki techniczne znajduj ące si ę naterytorium Rzeczypospolitej Polskiej wył ącznie do przekazywaniadanych

� prasowej działalno ści dziennikarskiej w rozumieniu ustawy z dnia26 stycznia 1984 r. - Prawo prasowe oraz do działalno ści literackiej lubartystycznej, chyba że wolno ść wyra żania swoich pogl ądówi rozpowszechniania informacji istotnie narusza prawa i wolno ściosoby, której dane dotycz ą.

Zakres przedmiotowy ustawyZakres przedmiotowy ustawy

Ustaw ę o ochronie danych osobowych stosuje si ę do przetwarzaniadanych osobowych:

� w zbiorach prowadzonych w systemie papierowym(w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych)

� w systemach informatycznych , także w przypadku przetwarzania danych poza zbiorem danych

Do zbiorów danych osobowych sporz ądzanych:� dora źnie� wył ącznie ze wzgl ędów technicznych� szkoleniowych lub� w zwi ązku z dydaktyk ą w szkołach wy ższych

a po ich wykorzystaniu niezwłocznie usuwanych albo poddanychanonimizacji, maj ą zastosowanie jedynie przepisy ustawy, dotycz ącezabezpieczenia zbiorów danych osobowych

Definicje ustawoweDefinicje ustawowe

DANE OSOBOWE - wszelkie informacje dotycz ące zidentyfikowanejlub mo żliwej do zidentyfikowania osoby fizycznej

� dane osobowe zwykłe (np. imię i nazwisko, PESEL, adres zamieszkania)

� dane osobowe wrażliwe (sensytywne) – katalog zamkni ęty� pochodzenie rasowe lub etniczne,pochodzenie rasowe lub etniczne,� pogl ądy polityczne,� przekonania religijne lub filozoficzne,� przynale żność wyznaniow ą, partyjn ą lub zwi ązkow ą,� dane o stanie zdrowia,� dane o kodzie genetycznym,� dane o nałogach� dane o życiu seksualnym� dane o skazaniach, orzeczeniach o ukaraniu i mandatach karn ych, a tak że o

innych orzeczeniach wydanych w post ępowaniu s ądowym lubadministracyjnym


ZBIÓR DANYCH - każdy posiadaj ący struktur ę zestaw danycho charakterze osobowym, dost ępnych według okre ślonych kryteriów,niezale żnie od tego, czy zestaw ten jest rozproszony lub podzielonyfunkcjonalnie

PRZETWARZANIE DANYCH - jakiekolwiek operacje wykonywane nadanych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie,opracowywanie, zmienianie, udost ępnianie i usuwanie, a zwłaszcza te,danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie,opracowywanie, zmienianie, udost ępnianie i usuwanie, a zwłaszcza te,które wykonuje si ę w systemach informatycznych

SYSTEM INFORMATYCZNY – zespół współpracuj ących ze sob ą urządzeń,programów, procedur przetwarzania informacji i narz ędziprogramowych zastosowanych w celu przetwarzania danych

USUWANIE DANYCH - zniszczenie danych osobowych lub tak ą ichmodyfikacj ę, która nie pozwoli na ustalenie to żsamo ści osoby, którejdane dotycz ą


ADMINISTRATOR DANYCH - organ, jednostka organizacyjna,podmiot lub osoba, o których mowa w art. 3 ustawy, decyduj ąceo celach i środkach przetwarzania danych osobowych

ZGODA OSOBY - oświadczenie woli, którego tre ścią jest zgoda naprzetwarzanie danych osobowych tego, kto składa

-przetwarzanie danych osobowych tego, kto składaoświadczenie; zgoda nie mo że być domniemana lubdorozumiana z o świadczenia woli o innej tre ści; zgoda mo żebyć odwołana w ka żdym czasie; zgoda mo że obejmowa ćprzetwarzanie danych w przyszło ści

ODBIORCA DANYCH - każdy, komu udost ępnia si ę dane osobowe(z wyjątkiem m.in. osoby, której dane dotycz ą, osobyupowa żnionej do przetwarzania danych)

Generalny Inspektor Ochrony Danych Osobowych Generalny Inspektor Ochrony Danych Osobowych (GIODO)(GIODO)

powoływany i odwoływany przez Sejm RP za zgodą Senatu na4-letni ą kadencj ę

wykonuje swoje zadania przy pomocy Biura Generalnego InspektoraOchrony Danych Osobowych (może wykonywać swoje zadania także przypomocy jednostek zamiejscowych Biura)

Prezydent RP w drodze rozporządzenia nadaje statut Biura oraz wskazujesiedziby jednostek zamiejscowych i ich zasięg terytorialny

Generalnym Inspektorem Ochrony Danych Osobowych IV kadenc ji jestWojciech Rafał Wiewiórowski - doktor nauk prawnych , który zajmuje tostanowisko od dnia 4 sierpnia 2010 r.

telefoniczne porady z zakresu ustawy o ochronie danych osobowychudzielane są pod numerem (0-22) 860-73-93. Zainteresowani mogą dzwonićw dni robocze między godziną 8.00 a 16.00

Biuro Generalnego Inspektora Ochrony Danych Osobowych mie ści si ęprzy ul. Stawki 2, 00-193 Warszawa

strona internetowa GIODO: www.giodo.gov.pl

Zadania GIODOZadania GIODO

kontrola zgodno ści przetwarzania danych z przepisami o ochroniedanych osobowych

wydawanie decyzji administracyjnych i rozpatrywanie skargw sprawach wykonania przepisów o ochronie danych osobowych

zapewnienie wykonania przez zobowi ązanych obowi ązkówo charakterze niepieni ężnym wynikaj ących z wydawanych decyzjiadministracyjnych przez stosowanie środków egzekucyjnychprzewidzianych w ustawie z dnia 17 czerwca 1966 r. o post ępowaniuprzewidzianych w ustawie z dnia 17 czerwca 1966 r. o post ępowaniuegzekucyjnym w administracji (t.j. Dz. U. z 2012 r., poz. 1015)

prowadzenie rejestru zbiorów danych oraz udzielanie informac jio zarejestrowanych zbiorach

opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danychosobowych

inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochronydanych osobowych

uczestniczenie w pracach międzynarodowych organizacji i instytucjizajmujących się problematyką ochrony danych osobowych


GIODO lub upowa żnieni przez niego pracownicy Biura, zwani„inspektorami”, maj ą prawo:

� wst ępu, w godzinach od 6.00 do 22.00, za okazaniem imiennegoupowa żnienia i legitymacji słu żbowej , do pomieszczenia, w którymzlokalizowany jest zbiór danych, oraz pomieszczenia, w którymprzetwarzane są dane poza zbiorem danych, i przeprowadzeniaprzetwarzane są dane poza zbiorem danych, i przeprowadzenianiezb ędnych bada ń lub innych czynno ści kontrolnych w celu ocenyzgodno ści przetwarzania danych z ustaw ą

� kierownik kontrolowanej jednostki organizacyjnej oraz kon trolowanaosoba fizyczna b ędąca administratorem danych osobowych s ąobowi ązani umo żliwi ć inspektorowi przeprowadzenie kontroli

� z czynno ści kontrolnych inspektor sporz ądza protokół, którego jedenegzemplarz dor ęcza kontrolowanemu administratorowi danych


W przypadku naruszenia przepisów o ochronie danych osobowychGIODO z urzędu lub na wniosek osoby zainteresowanej, w drodzedecyzji administracyjnej, nakazuje przywrócenie stanu zgodne goz prawem , a w szczególno ści:

� usuni ęcie uchybie ń� uzupełnienie, uaktualnienie, sprostowanie, udost ępnienie

lub nieudost ępnienie danych osobowychlub nieudost ępnienie danych osobowych� zastosowanie dodatkowych środków zabezpieczaj ących zgromadzone

dane osobowe� wstrzymanie przekazywania danych osobowych do pa ństwa trzeciego,� zabezpieczenie danych lub przekazanie ich innym podmiotom� usuni ęcie danych osobowych

Strona mo że zwróci ć się do GIODO z wnioskiem o ponownerozpatrzenie sprawy . Na decyzj ę GIODO w przedmiocie rozpatrzeniawniosku przysługuje skarga do s ądu administracyjnego.

GIODO GIODO -- statystykastatystyka

GIODO 2007 2010

pytania z pro śbą o interpretacj ę

1298 3147

skargi 796 991

kontrole 167 177

zawiadomienia o popełnieniu przest ępstwa

18 17

liczba zarejestrowanych zbiorów 2598 9255

Zasady przetwarzania danych osobowychZasady przetwarzania danych osobowych

� zasada legalno ści – przetwarza ć dane osobowe zgodniez prawem

� zasada celowo ści – zbiera ć dane dla oznaczonych, zgodnychz prawem celów

� zasada merytorycznej poprawno ści – dbać o merytoryczn ą� zasada merytorycznej poprawno ści – dbać o merytoryczn ąpoprawno ść danych

� zasada adekwatno ści danych – dbać o adekwatno ść danychw stosunku do celów, w jakich s ą zbierane

� zasada ograniczenia czasowego – przechowywa ć dane wpostaci umo żliwiaj ącej identyfikacj ę osób, których dotycz ą niedłu żej ni ż jest to niezb ędne do osi ągnięcia celu przetwarzania

Przesłanki dopuszczalno ści przetwarzania Przesłanki dopuszczalno ści przetwarzania danych zwykłychdanych zwykłych

Przetwarzanie danych zwykłych jest dopuszczalne, je żeli:

� osoba, której dane dotycz ą, wyrazi na to zgod ę, chybaże chodzi o usunięcie dotyczących jej danych

� jest to niezb ędne dla zrealizowania uprawnienia lub spełnieniaobowi ązku wynikaj ącego z przepisu prawa

� jest to konieczne do realizacji umowy, gdy osoba, której dane d otycz ą,jest jej stron ą lub gdy jest to niezb ędne do podj ęcia działa ń przedzawarciem umowy na żądanie osoby, której dane dotycz ą

� jest niezb ędne do wykonania okre ślonych prawem zada ńrealizowanych dla dobra publicznego

� jest to niezb ędne dla wypełnienia prawnie usprawiedliwionych celówrealizowanych przez administratorów danych albo odbiorców d anych,a przetwarzanie nie narusza praw i wolno ści osoby, której dane dotycz ą

Przesłanki dopuszczalno ści przetwarzania Przesłanki dopuszczalno ści przetwarzania danych wra żliwychdanych wra żliwych

Zakaz przetwarzania danych wra żliwych ujawniaj ących :

� pochodzenie rasowe lub etniczne,� pogl ądy polityczne,� przekonania religijne lub filozoficzne,� przynale żność wyznaniow ą, partyjn ą lub zwi ązkow ą,� dane o stanie zdrowia,

dane o kodzie genetycznym,� dane o kodzie genetycznym,� dane o nałogach� dane o życiu seksualnym� dane o skazaniach, orzeczeniach o ukaraniu i mandatach

karnych, a tak że o innych orzeczeniach wydanych wpost ępowaniu s ądowym lub administracyjnym

Katalog danych wra żliwych nie podlega rozszerzeniu!

Przesłanki dopuszczalno ści przetwarzania Przesłanki dopuszczalno ści przetwarzania danych wra żliwychdanych wra żliwych

10 wyjątków , w których przetwarzanie danych wra żliwych jestdopuszczalne (art. 27 ust. 2 ustawy o ochronie danychosobowych) m.in.:

� osoba, której dane dotycz ą, wyrazi na to zgod ę na piśmie, chybaże chodzi o usuni ęcie dotycz ących jej danych

� przepis szczególny innej ustawy zezwala na przetwarzanietakich danych bez zgody osoby, której dane dotycz ą, i stwarza

� przepis szczególny innej ustawy zezwala na przetwarzanietakich danych bez zgody osoby, której dane dotycz ą, i stwarzapełne gwarancje ich ochrony

� jest to niezb ędne do wykonania statutowych zada ń kościołów

� przetwarzanie jest prowadzone w celu ochrony stanu zdrowia ,świadczenia usług medycznych lub leczenia pacjentów przezosoby trudni ące się zawodowo leczeniem lub świadczenieminnych usług medycznych, zarz ądzania udzielaniem usługmedycznych i s ą stworzone pełne gwarancje ochrony danychosobowych

� przetwarzanie dotyczy danych, które zostały podane dowiadomo ści publicznej przez osob ę, której dane dotycz ą,

Prawa osób, których dane s ą przetwarzane w zbiorach Prawa osób, których dane s ą przetwarzane w zbiorach danych przez administratora danychdanych przez administratora danych

Każdej osobie, której dane s ą przetwarzane w zbiorach danych przezadministratora danych przysługuje:

� nie cz ęściej ni ż raz na 6 miesi ęcy prawo do kontroli przetwarzania danych , którejej dotycz ą, a zwłaszcza prawo do udzielenia jej informacji m.in.: o ist nieniuzbioru, swojej nazwie i adresie siedziby, celu, zakresie i s posobie przetwarzaniadanych zawartych w zbiorze, od kiedy przetwarza dane jej dot yczące, o źródle, zktórego pochodz ą dane, o sposobie udost ępniania danych oraz o ichodbiorcachodbiorcach

Administrator danych ma ustawowy obowi ązek poinformowania tej osobyw terminie 30 dni od dnia zło żenia wniosku

Prawo żądania uzupełnienia, uaktualnienia, sprostowania danych o sobowych,czasowego lub stałego wstrzymania ich przetwarzania lub ic h usuni ęcia, je żelisą one niekompletne, nieaktualne, nieprawdziwe lub zostały z ebrane znaruszeniem ustawy albo s ą już zbędne do realizacji celu, dla którego zostałyzebrane

Administrator danych ma obowi ązek uwzgl ędnienia żądania bez zb ędnej zwłoki

Prawa osób, których dane s ą przetwarzane w zbiorach Prawa osób, których dane s ą przetwarzane w zbiorach danych przez administratora danychdanych przez administratora danych

� prawo wniesienia , w przypadku, gdy przetwarzanie danych jestniezb ędne do wykonania okre ślonych prawem zada ń realizowanych dladobra publicznego oraz dla wypełnienia prawnie usprawiedl iwionychcelów realizowanych przez administratorów danych albo odbio rcówdanych, a przetwarzanie nie narusza praw i wolno ści osoby, którejdane dotycz ą, pisemnego, umotywowanego żądania zaprzestaniaprzetwarzania jej danych ze wzgl ędu na jej szczególn ą sytuacj ę

� administrator danych zaprzestaje przetwarzania kwestionowan ychdanych osobowych albo bez zb ędnej zwłoki przekazuje żądanieGIODO, który wydaje stosown ą decyzj ę

� prawo wniesienia sprzeciwu wobec przetwarzania jej danych

� w razie wniesienia sprzeciwu, dalsze przetwarzanie kwestionowa nychdanych jest niedopuszczalne

Odpowiedzialno ść za naruszenie przepisów ustawy Odpowiedzialno ść za naruszenie przepisów ustawy o ochronie danych osobowycho ochronie danych osobowych

Odpowiedzialno ść karna (za popełnienie przest ępstwa)� bezprawne przetwarzanie danych osobowych w zbiorze (art. 49 ustawy)� udostępnianie danych osobowych osobom nieupoważnionym (art. 51

ustawy)� niedopełnienie obowiązku zabezpieczania danych (art. 52 ustawy)� nie zgłoszenie do rejestracji zbioru (art. 53 ustawy)� niedopełnienie obowiązku informacyjnego (art. 54 ustawy)� udaremnianie lub utrudnianie inspektorowi wykonywania czynności� udaremnianie lub utrudnianie inspektorowi wykonywania czynności

kontrolnej (art. 54a ustawy)

Odpowiedzialno ść cywilna (za szkod ę)� naruszenie dóbr osobistych (roszczenia cywilnoprawne - art. 23, 24 kodeksu

cywilnego),� odpowiedzialność odszkodowawcza (art. 415 kodeksu cywilnego)

Odpowiedzialno ść dyscyplinarna (za naruszenie obowi ązkówpracowniczych, tajemnicy danych osobowych)

Odpowiedzialno ść administracyjna (może ją ponosić administrator danychnp. decyzja GIODO nakazująca zaprzestania przetwarzania danych)

Ochrona danych osobowych w szkoleOchrona danych osobowych w szkole

Działalno ść każdej szkoły i placówki podlega przepisom ustawyz dnia 29 sierpnia 1997 r. o ochronie danych osobowych(tj. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm .).

Ustawie o ochronie danych osobowych podlegaj ą daneosobowe przetwarzane w szkole:

� w systemach informatycznych orazznajduj ące się we wszelkich kartotekach, skorowidzach,� znajduj ące się we wszelkich kartotekach, skorowidzach,księgach, wykazach i innych zbiorach ewidencyjnych

Generalny Inspektor Ochrony Danych Osobowych w 1999 r.uznał, że jednostki komunalne wykonuj ące w imieniu gminyzadania, które słu żą zaspokojeniu potrzeb społeczno ści lokalnejsą administratorami danych w rozumieniu ustawy o ochroniedanych osobowych. Dotyczy to równie ż szkół oraz innychjednostek organizacyjnych systemu o światy.


Statusu administratora danych nie posiadaj ąjednostki obsługi ekonomiczno-administracyjnejszkół

Generalny Inspektor Ochrony Danych Osobowychw 2005 r. rozstrzygn ął, że jednostki obsługiw 2005 r. rozstrzygn ął, że jednostki obsługiekonomiczno-administracyjnej szkół s ą podmiotami,którymi administrator danych powierzył w drodzeumowy przetwarzanie danych osobowych napodstawie w art. 31 ustawy o ochronie danychosobowych


Przepisy szczególne w stosunku do ustawy o ochronie danych o sobowych,które okre ślają, jakie dane osobowe szkoła jest uprawniona lub zobowi ązanaprzetwarza ć:

� ustawa z dnia 7 wrze śnia 1991 r. o systemie o światy (Dz. U. z 2004 r., Nr 256,poz. 2572 z pó źn. zm.)

� ustawa z dnia 26 stycznia 1982 r. Karta Nauczyciela (Dz. U. z 2 006 r.Nr 97 poz. 674 z pó źn. zm.)

� ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej� ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej(Dz. U. z 2011 r., Nr 139, poz. 814 z pó źn. zm.)

� rozporz ądzenie Ministra Edukacji Narodowej i Sportu z dnia19 lutego 2002r. w sprawie sposobu prowadzenia przez public zne przedszkola,szkoły i placówki dokumentacji przebiegu nauczania, dział alno ściwychowawczej i opieku ńczej oraz rodzajów tej dokumentacji (Dz. U. z 2002 r. Nr23, poz. 225 z pó źn. zm.)

� rozporz ądzenie Ministra Edukacji Narodowej i Sportu z dnia20 lutego 2004 r. w sprawie warunków i trybu przyjmowania ucz niów do szkółpublicznych oraz przechodzenia z jednych typów szkół do inn ych (Dz. U. z 2004Nr 26, poz. 232 z pó źn. zm.)

� ogół aktów prawnych dotycz ących pomocy psychologiczno-pedagogicznej


W zakresie wynikaj ącym z powołanych wy żej aktów prawnych szkołyi placówki przetwarzaj ą przede wszystkim:

� dane osobowe nauczycieli i innych pracowników szkoły� dane osobowe uczniów� dane osobowe rodziców (opiekunów prawnych)

Zgodnie z rozporz ądzeniem Ministra Edukacji Narodowej i Sportu z dnia19 lutego 2002r. w sprawie sposobu prowadzenia przez publiczneZgodnie z rozporz ądzeniem Ministra Edukacji Narodowej i Sportu z dnia19 lutego 2002r. w sprawie sposobu prowadzenia przez publiczneprzedszkola, szkoły i placówki dokumentacji przebiegu nauczani a,działalno ści wychowawczej i opieku ńczej oraz rodzajów tej dokumentacji(Dz. U. 2002 Nr 23, poz. 225 z pó źn. zm.) zakresem dokumentacji przebiegunauczania, działalności wychowawczej i opiekuńczej objęte są wszczególności następujące dane osobowe:

� imi ę (imiona) i nazwisko dziecka,� datę i miejsce urodzenia dziecka,� adres zamieszkania dziecka,� numer PESEL dziecka� imiona i nazwiska rodziców (opiekunów prawanych) oraz adres y ich

zamieszkania


dokumentacja przebiegu nauczania powinna by ć prowadzonawył ącznie w zakresie okre ślonym w rozporz ądzeniu w sprawieprowadzenia dokumentacji

do pozyskiwania okre ślonych w rozporz ądzeniu w sprawie sposobuprowadzenia dokumentacji danych osobowych nie jest wymagan azgoda osoby, której dane dotycz ą

przetwarzanie danych osobowych wskazanych w ww. rozporz ądzeniuprzetwarzanie danych osobowych wskazanych w ww. rozporz ądzeniujest niezb ędne dla spełnienia przez szkoł ę lub placówk ę obowi ązkuwynikaj ącego z przepisu prawa

w przypadku pozyskiwania danych osobowych przez szkoł ę w zakresieszerszym ni ż ten wskazany w przepisach prawa, aby przetwarzaniedanych było legalne, konieczne jest pozyskanie zgody osoby, kt órejdane dotycz ą,

dla celów dowodowych wskazane jest, aby zgoda została udzielona napiśmie

w przypadku uczniów niepełnoletnich zgoda na przetwarzanie ichdanych musi by ć udzielona przez rodziców (prawnych opiekunów)


Działalno ścią szkoły lub placówki kieruje dyrektor szkoły,w związku z powy ższym wykonuje on obowi ązki administratoradanych , co oznacza, że:

� podejmuje samodzielne decyzje co do celów i środków u żytychdo przetwarzania danych osobowych,

� jest odpowiedzialny za bezpiecze ństwo tych danych oraz

� odpowiada za naruszenie przepisów ustawy o ochronie danychosobowych


Obowi ązki dyrektora szkoły w zakresie ochrony danych osobowych

� ustalenie, jakiego rodzaju dane osobowe s ą przetwarzane w szkoleoraz jakie zbiory danych s ą prowadzone (zarówno w postacipapierowej, jak i elektronicznej)

� zweryfikowanie, czy zostały spełnione przesłanki uprawniaj ące doprzetwarzania danych osobowych (np. czy została udzielona zgodarodziców na przetwarzanie danych osobowych małoletniego dzie cka,czy obowi ązek lub prawo do przetwarzania okre ślonych danychczy obowi ązek lub prawo do przetwarzania okre ślonych danychosobowych wynika z przepisu prawa lub z okre ślonych przez prawozadań realizowanych dla dobra publicznego)

� doło żenie szczególnej staranno ści w celu ochrony interesów osób ,których dane dotycz ą, a zwłaszcza zapewnienia, aby dane osobowebyły przetwarzane:

� zgodnie z prawem� zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawa ne,

dalszemu przetwarzaniu niezgodnemu z tymi celami� merytorycznie poprawne i adekwatne do celów, w jakich s ą

przetwarzane


Przesłanki dopuszczalno ści przetwarzanie przez szkoł ę danychosobowych zwykłych:

� osoba, której dane dotycz ą wyrazi na to zgod ę

� jest to niezb ędne dla zrealizowania uprawnienia lub spełnieniaobowi ązku wynikaj ącego z przepisu prawa

� jeżeli jest to niezb ędne do wykonania okre ślonych przez prawozadań realizowanych dla dobra publicznego

Przetwarzanie przez szkoł ę i placówk ę danych wra żliwych jestco do zasady niedopuszczalne , chyba że zostanie spełniona conajmniej jedna przesłanka dopuszczalno ści przetwarzania tychdanych, okre ślona w art. 27 ust. 2 ustawy o ochronie danych

osobowych



� zastosowanie środków technicznych i organizacyjnychzapewniaj ących ochron ę przetwarzanych danych osobowych(w tym m.in. zabezpieczanie przed dostępem osóbnieupoważnionych pomieszczeń, w których wykonywane sąjakiekolwiek operacje na danych osobowych)jakiekolwiek operacje na danych osobowych)

� opracowanie i wdro żenie dokumentacji opisuj ącej sposóbprzetwarzania danych

� polityki bezpiecze ństwa informacji oraz� instrukcji zarz ądzania systemem informatycznym słu żącym do

przetwarzania danych osobowych


Rozporz ądzenie Ministra Spraw Wewn ętrznych i Administracjiz dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarza niadanych osobowych oraz warunków technicznych iorganizacyjnych, jakim powinny odpowiada ć urządzeniai systemy informatyczne słu żące do przetwarzania danychosobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) okre śla:

� sposób prowadzenia i zakres dokumentacji opisującej sposób� sposób prowadzenia i zakres dokumentacji opisującej sposóbprzetwarzania danych osobowych oraz środki techniczne iorganizacyjne zapewniające ochronę przetwarzanych danychosobowych odpowiednią do zagrożeń oraz kategorii danych objętychochroną

� podstawowe warunki techniczne i organizacyjne, jakim powinnyodpowiadać urządzenia i systemy informatyczne służące doprzetwarzania danych osobowych

� wymagania w zakresie odnotowywania udostępniania danychosobowych i bezpieczeństwa przetwarzania danych osobowych


Polityka bezpiecze ństwa zawiera w szczególno ści:

1) wykaz budynków, pomieszcze ń lub cz ęści pomieszcze ń,tworz ących obszar, w którym przetwarzane s ą dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniemprogramów zastosowanych do przetwarzania tych danych ;

2) wykaz zbiorów danych osobowych wraz ze wskazaniemprogramów zastosowanych do przetwarzania tych danych ;

3) opis struktury zbiorów danych wskazuj ący zawarto śćposzczególnych pól informacyjnych i powi ązania mi ędzy nimi;

4) sposób przepływu danych pomi ędzy poszczególnymisystemami;

5) okre ślenie środków technicznych i organizacyjnychniezbędnych dla zapewnienia poufno ści, integralno ścii rozliczalno ści przetwarzanych danych.


Instrukcja zarz ądzania systemem informatycznym słu żącym do przetwarzania danych osobowych zawiera w szczególno ści:

1) procedury nadawania uprawnie ń do przetwarzania danych i rejestrowania tychuprawnie ń w systemie informatycznym oraz wskazanie osoby odpowiedzi alnej za teczynno ści;

2) stosowane metody i środki uwierzytelnienia oraz procedury zwi ązane z ichzarządzaniem i u żytkowaniem;

3) procedury rozpocz ęcia, zawieszenia i zakończenia pracy przeznaczone dla3) procedury rozpocz ęcia, zawieszenia i zakończenia pracy przeznaczone dlaużytkowników systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz p rogramów i narz ędziprogramowych słu żących do ich przetwarzania;

5) sposób, miejsce i okres przechowywania:a) elektronicznych no śników informacji zawieraj ących dane osobowe,b) kopii zapasowych, o których mowa w pkt 4,

6) sposób zabezpieczenia systemu informatycznego przed dzia łalno ściąoprogramowania, którego celem jest uzyskanie nieuprawnio nego dost ępu dosystemu informatycznego;

7) sposób realizacji wymogów, dotycz ących odnotowywania informacji o odbiorcach;

8) procedury wykonywania przegl ądów i konserwacji systemów oraz no śnikówinformacji słu żących do przetwarzania danych.


� wytyczne w zakresie opracowania i wdro żenia politykibezpiecze ństwa

� wskazówki dotycz ące sposobu opracowania instrukcjiokreślającej sposób zarz ądzania systememinformatycznym, słu żącym do przetwarzania danychinformatycznym, słu żącym do przetwarzania danychosobowych, ze szczególnym uwzgl ędnieniemwymogów bezpiecze ństwa informacji

dost ępne są na stronie www .giodo.gov.pl



� wyznaczenie administratora bezpiecze ństwa informacji (ABI)

� nie ma potrzeby wyznaczania ABI, je żeli administrator danychsam wykonuje zadania ABI

Administrator Bezpiecze ństwa Informacji w szczególno ści:

� nadzoruje przestrzeganie zasad ochrony, okre ślonych przezadministratora danych, wynikaj ących z polityki bezpiecze ństwaoraz instrukcji zarz ądzania systemem informatycznym

� ma obowi ązek stosowa ć odpowiednie do zagro żeńi kategorii danych środki techniczne i organizacyjne

Ochrona danych osobowych w szkoleOchrona danych osobowych w szkoleObowi ązki dyrektora szkoły w zakresie ochrony danych osobowych

� nadanie upowa żnień osobom dopuszczonym do przetwarzania danychosobowych

Do przetwarzania danych mog ą być dopuszczone wył ącznie osoby posiadaj ąceupowa żnienie nadane przez administratora danych .

Upowa żnienie powinno:

� mieć form ę pisemn ą,� mieć charakter imienny, wskazywa ć konkretna osob ę oraz dozwolony zakres

przetwarzania,� być nadawane niezale żnie od tego czy dane przetwarzane s ą „r ęcznie” czy

„automatycznie”,� nadane osobom stale lub czasowo zajmuj ącym si ę przetwarzaniem danych,� stanowi ć odr ębny dokument, nie powinno być zawarte w ramach umowy o prac ę

lub zakresu czynno ści

Osoby, które zostały upowa żnione do przetwarzania danych, s ą obowi ązane zachowa ć wtajemnicy te dane osobowe oraz sposoby ich zabezpieczenia ( osoba upowa żniona powinnapodpisa ć oświadczenie o przyj ęciu do wiadomo ści obowi ązku zachowania tajemnicy)


Upowa żnienie imienne do przetwarzania danych osobowych (wzór )

Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danychosobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) upoważniamPanią/Pana.......................................................................................................

(imię i nazwisko osoby upoważnionej)

zatrudnioną (ego) w ........................................................................................(nazwa jednostki i komórki organizacyjnej)

na stanowisku .................................................................................................do przetwarzania od dnia ........................................ r. danych osobowychw zakresie .......................................................................................................i nadaję identyfikator .......................................................................................

(podpis administratora danych )



� prowadzenie ewidencji osób upowa żnionych do przetwarzania danych

Ewidencja powinna zawierać:

� imi ę i nazwisko osoby upowa żnionej,� datę nadania upowa żnienia i jego ustania� zakres upowa żnienia do przetwarzania danych osobowych,� identyfikator, je żeli dane s ą przetwarzane w systemie informatycznym

Ewidencj ę należy prowadzi ć w formie pisemnej zarówno, gdy daneosobowe przetwarzane są „ręcznie”, jak też automatycznie

Ewidencja powinna odnosi ć się do wszystkich osób upowa żnionych, anie tylko pozostaj ących w stosunku pracy oraz zawierać wszystkiewymagane informacje



� zapewnienie kontroli nad tym, jakie dane osobowe,kiedy i przez kogo zostały do zbioru wprowadzoneoraz komu s ą przekazywane

� respektowanie praw osób, których dane dotycz ą

� zgłoszenie zbioru danych do rejestracji GIODO,chyba że ustawa zwalnia go z tego obowi ązku

Rejestracja zbiorów danych osobowychRejestracja zbiorów danych osobowych

� ustawa przewiduje 15 przypadków, w których administratordanych zwolniony jest z obowi ązku zgłoszenia zbioru dorejestracji

Z obowi ązku rejestracji zbioru danych zwolnieni s ąadministratorzy danych przetwarzanych m.in.:

� w związku z zatrudnieniem u nich, świadczeniem im usług napodstawie umów cywilnoprawnych, a tak że dotycz ących osób u nichzrzeszonych lub ucz ących si ę

� przetwarzanych wył ącznie w celu wystawienia faktury, rachunkulub prowadzenia sprawozdawczo ści finansowej,

� powszechnie dost ępnych


zgłoszenia zbioru danych dokonuje si ę na formularzu, którego wzórstanowi zał ącznik do rozporz ądzenia Ministra Spraw Wewn ętrznych iAdministracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszen iazbioru danych do rejestracji Generalnemu Inspektorowi Ochr onyDanych Osobowych (Dz. U. Nr 229, poz. 1536).

zgłoszenie powinno zawierać wszystkie informacje, o których mowa w art.41 ust. 1 pkt 1-7 ustawy o ochronie danych osobowych oraz być podpisaneprzez administratora danych lub inną osobę upoważnioną doreprezentowania wnioskodawcy (w przypadku szkoły lub placówki –reprezentowania wnioskodawcy (w przypadku szkoły lub placówki –zgłoszenie podpisuje dyrektor)

zgłoszenie można przesłać pocztą lub złożyć w Biurze GeneralnegoInspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa)

od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną zużyciem bezpiecznego podpisu elektronicznego

zgłoszenie można również dokonać drogą elektroniczną bez użycia podpisuelektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej.Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogąelektroniczną znajduje się na stronie internetowej Generalnego InspektoraOchrony Danych Osobowych w systemie "platformae-giodo".


Najczęściej zgłaszane do rejestracji GIODO zbiorydanych osobowych prowadzone przez szkoły:

�rejestr korespondencji

�rejestr dokumentacji przetargowej�rejestr dokumentacji przetargowej

�rejestr uczniów zamieszkałych w obwodzie szkołyrealizuj ących obowi ązek szkolny w innej szkole

�rejestr biblioteczny

�rejestr upowa żnień do odbioru dzieci ze świetlicy

Powierzenie przetwarzania danych osobowychPowierzenie przetwarzania danych osobowych

Administrator danych mo że powierzy ć innemu podmiotowi,w drodze umowy zawartej na pi śmie, przetwarzanie danychw cało ści lub w cz ęści – art. 31 ustawy o ochronie danych osobowych

Uwaga! Administrator danych nie mo że powierzy ć innemu podmiotowiwięcej praw ni ż sam posiada

Podmiot, któremu powierzono przetwarzanie danych:

� może przetwarza ć dane wył ącznie w zakresie i celu przewidzianymw umowie

� jest obowi ązany przed rozpocz ęciem przetwarzania danych podj ąć środkizabezpieczaj ące zbiór danych, oraz spełni ć wymagania okre ślone w przepisach,o których mowa w art. 39a ustawy

� w zakresie przestrzegania powy ższych przepisów podmiot ponosiodpowiedzialno ść jak administrator danych

� ponosi odpowiedzialno ść za przetwarzanie danych niezgodnie z umow ą(uwaga! główna odpowiedzialno ść za przestrzeganie przepisów ustawyspoczywa na administratorze danych)

� nie staje si ę administratorem danych na skutek powierzenia przetwarzan ia

Powierzenie przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych przez szkoł ę innemu podmiotowiprzez szkoł ę innemu podmiotowi

� szkoła jako administrator danych mo że powierzy ć przetwarzaniedanych wyspecjalizowanemu podmiotowi w cało ści lub w cz ęści

� instytucja powierzania przetwarzania danych w praktyce szkol nejdotyczy w szczególno ści powierzenia prowadzenia dziennikaelektronicznego

� szkoły najcz ęściej powierzaj ą obsług ę e-dziennika firmomzewnętrznymzewnętrznym

� dost ęp do danych osobowych zawartych w e-dziennikach jest mo żliwyprzez Internet za pomoc ą poł ączeń szyfrowanych

Uwaga! Dziennik lekcyjny prowadzony w tradycyjnej formie jestzbiorem danych osobowych i wymaga, aby osoba przetwarzaj ąca daneosobowe (nauczyciel) posiadała stosowne upowa żnienie doprzetwarzania danych osobowych, a pokój nauczycielski jakopomieszczenie, w którym ten dziennik jest przechowywany, byłodpowiednio zabezpieczony. W pokoju nauczycielskim nie powinn aprzebywa ć, bez nadzoru przynajmniej jednej osoby upowa żnionej,żadna osoba nieupowa żniona.

Powierzenie przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych przez szkoły innemu podmiotowiprzez szkoły innemu podmiotowi

Dziennik elektroniczny

� szkoła mo że powierzy ć prowadzenie dziennika elektronicznego firmiezewnętrznej wył ącznie w drodze umowy zawartej na pi śmie,określającej zakres i cel przetwarzania danych oraz w szczególno ścizasady odpowiedzialno ści podmiotu, któremu przekazano dane i ramyczasowe takiej umowy

Podmiot, któremu powierzono przetwarzanie danych:

� może przetwarza ć dane wył ącznie w zakresie i celu przewidzianym� może przetwarza ć dane wył ącznie w zakresie i celu przewidzianymw umowie (zakres i cel musi by ć związany ze świadczeniem usługidziennika elektronicznego i nie mo że być rozszerzany samodzielnieprzez dostawc ę)

� jest obowi ązany podj ąć środki zabezpieczaj ące zbiór danych orazspełni ć wymagania okre ślone w rozporz ądzeniu Ministra SprawWewnętrznychi Administracji z dnia 29 kwietnia 2004 r. w sprawiedokumentacji przetwarzania danych osobowych oraz warunkówtechnicznych i organizacyjnych, jakim powinny odpowiada ć urządzeniai systemy informatyczne słu żące do przetwarzania danych osobowych(Dz. U. z 2004 r. Nr 100, poz.1024)

� nie staje si ę administratorem danych



� dane zgromadzone w systemie dziennika elektronicznego(np. dane uczniów, ich oceny, obecno ści) mog ą być administrowanewył ącznie przez szkoł ę (szkoła jest bowiem administratorem danychosobowych)

� nie spełnia wymogów z art . 31 ustawy o ochronie danych osobowych� nie spełnia wymogów z art . 31 ustawy o ochronie danych osobowychumowa udzielenia licencji na korzystanie z systemu informat ycznegozawarta z chwil ą otrzymania przez szkoł ę kodu dost ępu do systemuinformatycznego

� nie wystarczy pisemna umowa hostingowa (hosting – udost ępnienieprzez dostawce usług internetowych zasobów serwerowni), je śli niezawiera ona postanowie ń, z których wynikałoby, i ż na ich podstawiepowierzono przetwarzanie danych osobowych w celu wykonania te jumowy



� powierzenie przez szkoł ę firmie przetwarzania danych osobowych bezzawarcia w formie pisemnej umowy, stanowi naruszenieart. 31 ust. 1 ustawy o ochronie danych osobowych

� dyrektor szkoły ponosi odpowiedzialno ść za właściwe prowadzenie iprzechowywanie dokumentacji przebiegu nauczania, działalno ściwychowawczej i opieku ńczej oraz za wydawanie przez szkoł ędokumentów zgodnych z posiadan ą dokumentacj ądokumentów zgodnych z posiadan ą dokumentacj ą

� dyrektor szkoły decyduje, czy rodzice uczniów b ędą mogli logowa ć siędo systemu dziennika elektronicznego i jaki zakres b ędzie imudost ępniony

� decyzja ta powinna w równym stopniu obejmowa ć wszystkichrodziców i okre ślać jednakowe warunki korzystania z e-dziennika orazuniemo żliwia ć użytkownikom przenoszenia danych osobowychznajduj ących si ę w dzienniku elektronicznym na komputery osobiste

� pobieranie opłat od rodziców za dost ęp do dziennika elektronicznegojest nieuprawnione

� GIODO nie wydaje żadnych certyfikatów b ędących po świadczeniembezpiecze ństwa przetwarzanych danych

Ochrona danych osobowych w szkole i placówceOchrona danych osobowych w szkole i placówce-- wybrane zagadnienia z zakresu działalno ści GIODOwybrane zagadnienia z zakresu działalno ści GIODO

Analiza zagadnień związanych z przetwarzaniem danych osobowychw szkołach i placówkach, którymi zajmował się dotychczas GIODO,wydawanych przez GIODO decyzji administracyjnych, odpowiedziudzielanych w konkretnych sprawach oraz sprawozdańz działalności, pozwala na wyodrębnienie kilku grup zagadnieńz zakresu ochrony danych osobowych w szkołach i placówkach:

� udost ępnianie danych osobowych nauczycieli� udost ępnianie danych osobowych rodziców� udost ępnianie danych osobowych uczniów� zakres danych przetwarzanych przez szkoły

i placówki


Udost ępnianie danych osobowych nauczycieli

� wywieszanie w miejscach publicznych zarz ądzeń dyrektoraszkoły informuj ących o braku kwalifikacji wymienionychz imienia i nazwiska nauczycieli – zgodnie ze stanowiskiemGIODO, działanie takie narusza przepisy ustawy o ochronie danychosobowychosobowych

� żądanie od dyrektora szkoły przez organ prowadz ący imiennegowykazu jej pracowników wraz z informacj ą o wymiarze czasupracy - GIODO uznał za legalne

� przekazywanie przez dyrektorów szkół organom prowadz ącympełnych akt osobowych pracowników zatrudnionych w szkołac h- w ocenie GIODO działanie to nie znajduje uzasadnienia wpowszechnie obowiązujących przepisach prawa.


Udost ępnianie danych osobowych rodziców

� udost ępnienie przez dyrektora adresów zamieszkania członk ów rady rodziców – według GIODO udostępnienie tych danych wnika w sferę życia prywatnego członków rady; rada powinna określić zasady kontaktowania się z nią w regulaminie rady rodziców

� samowolne udost ępnienie przez nauczyciela i byłegowychowawc ę klasy, danych rodziców i dwóch uczniówprzychodniom zdrowia w zwi ązku z prywatnym sporem, jakiprowadził z rodzicami - GIODO w decyzji z dnia 31 sierpnia 2005 r.(sygn. GI-DEC-DS-275/05) wskazał na uchybienie administratoradanych polegające na niezastosowaniu wystarczających środkówbezpieczeństwa przetwarzanych danych. W regulaminachwewnętrznych szkoły brak było postanowień, które zabraniałybywykorzystania danych pozyskanych w celach służbowych do celówprywatnych realizowanych przez osoby korzystające z tych danych.


Udost ępnianie danych osobowych uczniów i rodziców

� czy nauczyciele mog ą wyrazi ć zgodę na to, by przedstawicielefirmy marketingowej w trakcie prowadzonych lekcji, gromad ziliinformacje o uczniach i ich rodzicach (imieniu, nazwisku,numerze telefonu) w celu prowadzenia akcji marketingowej?

Nie, gdyż zgodę na wykorzystywanie danych osobowychuczniów w celach marketingowych mogą wyrazić tylkosami uczniowie, w przypadku gdy są pełnoletni, a jeśli sąniepełnoletni, zgodę wyrażają rodzice (opiekunowieprawni).


Udost ępnianie danych osobowych uczniów

� legalno ść publikowanie na stronie www danych osobowych ucznia ijego osi ągni ęć sportowych - w ocenie GIODO, działanie takie wymagaspełnienia przez administratora danych co najmniej jednej przesłanki z art.23 ust. 1 ustawy dopuszczającej przetwarzanie danych (m.in. zgodarodziców lub pełnoletnich uczniów, przepis prawa dopuszczający taką formęprzetwarzania danych), w innym przypadku opublikowanie danych będzieniezgodne z prawemniezgodne z prawem

� legalno ść wywieszania na tablicy ogłosze ń listy nazwisk dzieciz kwot ą zaległych opłat – zgodnie ze stanowiskiem GIODO, administratorpowinien dysponować chociaż jedną przesłanką z art. 23 ust. 1 ustawy,inaczej jest to nielegalne

� wywieszenia w miejscu publicznie dost ępnym listy uczniów, którychnie mo żna zabiera ć na wycieczki szkolne, poniewa ż nie są oneubezpieczone – GIODO uznał za rażące naruszenie obowiązkuprawidłowego zabezpieczenia danych osobowych


Udost ępnianie danych osobowych uczniów

� dopuszczalno ść publikowania na stronach internetowychwizerunku uczniów oraz ocen uzyskiwanych przez uczniów –GIODO podkreślił, że w przypadku braku zgody rodziców (prawnychopiekunów) lub pełnoletnich uczniów, których dane dotyczą brak jestprzesłanki zezwalającej na ich przetwarzanie

� obowi ązek noszenia przez uczniów identyfikatorów� obowi ązek noszenia przez uczniów identyfikatorówzawieraj ących imi ę, nazwisko ucznia, wizerunek ucznia i nazw ęklasy do której ucze ń uczęszcza – według GIODO działanie takiejest dopuszczalne, jeśli wynika ze statutu szkoły, który na podstawieart.60 ust. 1 pkt 4 i 7 ustawy o systemie oświaty powinien określaćprawa i obowiązki uczniów lub innych wewnętrznych przepisówobowiązujących w danej jednostce organizacyjnej

� udost ępnienie Ko ściołowi przez katechet ę danych dzieci nieuczęszczających na religi ę – GIODO uznał za dopuszczalneujawnienie Kościołowi danych uczniów ale tylko wyznaniakatolickiego, jeżeli takie działanie jest niezbędne do wykonywaniaprzez Kościół jego statutowych działań


Zakres danych przetwarzanych przez szkoły i placówk i

� żądanie podania szczegółowych danych osobowych rodzicówna pierwszej stronie dzienniczka ucznia – GIODO uznał, żeprzepisy nie wskazują, jakie dane powinien zawierać dzienniczekucznia, wobec czego żądanie podania szczegółowych danychosobowych rodziców nie jest zgodne z prawemosobowych rodziców nie jest zgodne z prawem

� dopuszczalno ść umieszczania w dziennikach lekcyjnychdanych osobowych rodziców – według GIODO umieszczaniew dziennikach lekcyjnych danych osobowych rodziców jestdopuszczalne w zakresie wynikającym z rozporządzenia MinistraEdukacji Narodowej i Sportu z dnia 19 lutego 2002r. w sprawiesposobu prowadzenia przez publiczne przedszkola, szkoły i placówkidokumentacji przebiegu nauczania, działalności wychowawczej iopiekuńczej oraz rodzajów tej dokumentacji


Zakres danych przetwarzanych przez szkoły i placówki

� instalowanie kamer wizyjnych w szkołach– w ocenie GIODO praktykę uznać należy za zgodną z przepisami

o ochronie danych osobowych, mającą zapobiegać patologiomwśród dzieci i pozwalającą na szybszą reakcję w przypadkuużywania siły w kontaktach między uczniami; jako podstawęużywania siły w kontaktach między uczniami; jako podstawęprzetwarzania wskazuje się zapewnienie bezpieczeństwapublicznego zgodnie z ustawą z dnia 22 sierpnia 1997 r. o ochronieosób i mienia (Dz. U. z 2005 r. Nr 145, poz. 1221 z późn. zm.)

� rejestracja zbiorów danych dzieci ucz ących si ę w danej szkole –zbiór takich danych jest zwolniony z rejestracji na podstawie art. 43ust. 1 pkt 4 ustawy o ochronie danych osobowych



� czy dyrektor szkoły mo że przetwarza ć posiadane przez szkoł ędane osobowe na potrzeby zło żenia pozwu do s ądu dlanieletnich?

W ocenie GIODO, takie postępowanie nie naruszaW ocenie GIODO, takie postępowanie nie naruszaprzepisów ustawy o ochronie danych osobowych.Dyrektor szkoły ma prawo wykorzystać dane osobowezawarte w księdze uczniów w celu złożenia wniosku dosądu dla nieletnich. Powyższe uprawnienie dyrektorawynika z przepisów prawa, zwłaszcza z ustawy z dnia26 października 1982 r. o postępowaniu w sprawachnieletnich.



� czy szkoła posiadaj ąca rejestr uczniów realizuj ących obowi ązekszkolny w innych szkołach powinna zgłosi ć taki zbiór danychdo osobowych rejestracji GIODO?

Z obowiązku rejestracji zbioru danych zwolnieni są m.in.Z obowiązku rejestracji zbioru danych zwolnieni są m.in.administratorzy danych prowadzący zbiory danych osób u nichuczących się. Oznacza to, że z obowiązku rejestracji zwolnionezbiory danych osób, które się w nich uczą.

Jeżeli szkoła przetwarza (np. tylko przechowuje) zbiory danych osób,które realizują obowiązek szkolny w innych szkołach, wówczaswskazana wyżej przesłanka zwolnienia z rejestracji nie mazastosowania. Tym samym takie zbiory danych osobowych powinnyzostać zarejestrowane u Generalnego Inspektora Ochrony DanychOsobowych.



�czy zbiory danych zawieraj ące podania o prac ępowinny zosta ć zarejestrowane u GIODO?

Nie, gdyż dla tego rodzaju zbiorów ustawa o ochroniedanych osobowych przewiduje wyłączenie z rejestracji.Z obowiązku rejestracji zbioru danych zwolnieni sąadministratorzy danych przetwarzanych w związkuz zatrudnieniem u nich. Dotyczy to zbiorów aktualnychi byłych pracowników, a także kandydatów do pracy.



� czy biblioteki prowadzone przez szkoły podlegaj ą obowi ązkowizgłoszenia zbiorów do rejestracji GIODO?

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzydanych przetwarzanych w związku z zatrudnieniem u nich,danych przetwarzanych w związku z zatrudnieniem u nich,świadczeniem im usług na podstawie umów cywilnoprawnych,a także dotyczących osób u nich zrzeszonych lub uczących się.Jeżeli biblioteki prowadzone przez szkoły przetwarzają wyłączniedane osób uczących się w nich, zatrudnionych w tych szkołach lubświadczących im usługi na podstawie umów cywilnoprawnych, tozwolnione są one z obowiązku zgłoszenia do rejestracjiprzedmiotowego zbioru danych.W przypadku, gdy w zbiorach takich znajdą się dane osób innych,niż wyżej wymienione, będą one podlegały obowiązkowi zgłoszeniado rejestracji GIODO.

Tajemnica zawodowa nauczyciela Tajemnica zawodowa nauczyciela –– troch ę historii troch ę historii

art. 31 ustawy z dnia 1 lipca 1926 r. o stosunkach słu żbowych nauczycieli

� Nauczyciel jest obowi ązany zachowa ć w tajemnicy wszystkie sprawy, októrych powzi ął wiadomo ść, dzięki swemu stanowisku słu żbowemu, oile sprawy te wyra źnie uznano za poufne, lub gdy utrzymania ich wtajemnicy wymaga dobro publiczne, inne wzgl ędy słu żbowe, albointeres uczniów lub ich rodziców . W szczególno ści zaś nauczycielinteres uczniów lub ich rodziców . W szczególno ści zaś nauczycielwinien zachowa ć w tajemnicy przebieg obrad rad pedagogicznych(pełnych lub klasowych).

� Nauczyciel powinien zachowa ć tajemnic ę wobec ka żdego, komu niejest obowi ązany donosi ć o tych sprawach słu żbowo, o ile wła ściwawładza w poszczególnym wypadku nie uwolni go od tego obowi ązku.

� Obowi ązek zachowania tajemnicy trwa zarówno w czasie czynnejsłu żby, jak te ż po przej ściu w stan nieczynny, pozasłu żbowy i naemerytur ę oraz po rozwi ązaniu stosunku słu żbowego z jakiegokolwiekpowodu.

Dziękuję za uwagęDziękuję za uwagęDziękuję za uwagęDziękuję za uwagę

Monika RękawekZespół Obsługi PrawnejKuratorium Oświaty w Białymstoku

Ochrona danych osobowych w szkole -...

Documents

Transcript of Ochrona danych osobowych w szkole -...