Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 15 WRZEŚNIA 2015
ZAKTUALIZOWANO: 4 WRZEŚNIA 2017

 

Procedury i instrukcje związane z ochroną danych osobowych w szkole

 

Opracowali: Aneta Chamczyńska-Penkala, prawnik; Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów powołania i odwołania administratora bezpieczeństwa informacji (Dz.U z 2014 r. poz. 1934),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych przez administratora bezpieczeństwa informacji (Dz.U z 2015 r. poz. 745).

 

Administratorem danych osobowych jest szkoła reprezentowana przez jej dyrektora. W każdej placówce konieczne jest zastosowanie właściwych środków technicznych oraz organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, umożliwiających zidentyfikowanie konkretnej osoby (np. imię i nazwisko, adres zamieszkania, PESEL). Środki te muszą być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, w szczególności należy zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem, przetwarzaniem z naruszeniem Ustawy o ochronie danych osobowych oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

 

Należy przypomnieć, że pod pojęciem przetwarzania danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 uodo.).

 

Zgodnie z art. 36a ust. 1 uodo., w szkole może zostać powołany administrator bezpieczeństwa informacji (ABI). W przypadku jego niepowołania, administrator danych sam realizuje jego zadania (art. 36b). Mając na uwadze, że administratorem danych przetwarzanych w szkole jest szkoła, to w przypadku braku powołania ABI-ego to dyrektor, jako podmiot reprezentujący placówkę oświatową, będzie wypełniał jego obowiązki.

 

Zgodnie z art. 36a ust. 5 uodo., administratorem bezpieczeństwa informacji może być osoba, która spełnia łącznie następujące warunki:

 

  •        ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  •        posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  •        nie była karana za umyślne przestępstwo.

 

Regulacje ustawowe określają również pozycję ABI-ego w strukturze administratora danych. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki, a administrator danych musi mu zapewnić środki  oraz organizacyjną odrębność, niezbędne do niezależnego wykonywania jego zadań.

 

Do ustawowych zadań ABI-ego, zgodnie z art.36a ust. 2, należą:

 

  • zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

 

    • sprawdzenie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    • nadzorowanie opracowania i aktualizacja dokumentacji ochrony danych osobowych,
    • zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

 

  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

 

Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa wyżej.

 

Nic nie stoi na przeszkodzie, aby na administratora bezpieczeństwa informacji w szkole został wyznaczony np. wychowawca. Należy jednak pamiętać, że osoba taka musi spełniać określone ustawowo wymogi oraz mieć zapewnioną możliwość realizacji nałożonych na nią przez uodo. zadań.

 

To od decyzji dyrektora szkoły zależy więc, czy wychowawca będzie w stanie pogodzić obowiązki pedagogiczne i opiekuńcze z obowiązkami wynikającymi z pełnienia funkcji administratora bezpieczeństwa informacji.

 

Zgodnie z art. 46b uodo. administrator danych jest zobowiązany do zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych powołania i odwołania administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Wzór zgłoszenia określony został w