Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: MARZEC 2012

ZAKTUALIZOWANO: PAŹDZIERNIK 2014


Procedury i instrukcje związane z ochroną danych osobowych w przedszkolu


Opracowała: Aneta Chamczyńska-Penkala, prawnik


Podstawa prawna:


  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024).


Administratorem danych osobowych może być sam dyrektor przedszkola lub wyznaczony przez niego pracownik, osoba lub firma zewnętrzna. Jednakże bez względu na to, kto administruje danymi osobowymi w placówce, konieczne jest zastosowanie właściwych środków technicznych oraz organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, umożliwiających zidentyfikowanie konkretnej osoby (np. imię i nazwisko, adres zamieszkania, PESEL). Środki te muszą być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, w szczególności należy zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem, przetwarzaniem z naruszeniem Ustawy o ochronie danych osobowych oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.


Należy przypomnieć, że pod pojęciem przetwarzania danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 ww. Ustawy).


Zgodnie z art. 36 ust. 3 ww. Ustawy, w przedszkolu musi zostać wyznaczony administrator bezpieczeństwa informacji, chyba że dyrektor sam przetwarza dane osobowe bez względu na to, czy dane te są przetwarzane w systemie informatycznym, czy na papierze. Przepisy nie określają obowiązków administratora, ale wydaje się zasadne, iż jego rolą będzie nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenie danych przed dostępem do nich osób nieuprawnionych, ich utratą oraz uszkodzeniem. Administratorem może być jeden z pracowników, ale przepisy nie wykluczają zatrudnienia do tego zadania osoby z zewnątrz. Wyznaczenie do roli administratora bezpieczeństwa informacji powinno nastąpić w formie pisemnej.


Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (art. 37 ww. Ustawy). Chodzi tu nie tylko o upoważnienie dla osoby, która stale zajmuje się przetwarzaniem danych osobowych, ale również dla osoby, która ad hoc ma się zajmować danymi, np. serwisant, który usuwa usterkę systemu. Ustawodawca nie wskazał, jaka ma być treść czy forma takiego upoważnienia. Jednakże z uwagi na wartość dowodową zasadne jest, aby miało ono formę pisemną. Dla dyrektora przedszkola ważne jest, aby upoważniana osoba podpisała oświadczenie o znajomości przepisów o ochronie danych osobowych oraz o zachowaniu w tajemnicy informacji, do których ma dostęp.


Administrator danych, np. dyrektor przedszkola, jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane (art. 38). Ustawa