Podstawy prawne do przetwarzania danych osobowych uczniów w szkołach

Zgoda rodziców nie stanowi podstawy prawnej przetwarzania dokumentacji szkolnej ucznia. Prowadzenie dokumentacji przez placówki oświatowe regulują przepisy ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe oraz akty prawne wydane na jej podstawie.

Przykładem jest, iż podczas uroczystości szkolnych mogą zostać wyczytane imiona i nazwiska uczniów, którzy wyróżniali się wybitnymi osiągnięciami bez zgody rodzica ucznia. Zgodnie z ustawą o systemie oświaty i ustawą Prawo oświatowe, szkoła nie potrzebuje uzyskiwać zgód, jeśli przetwarza dane uczniów w celach oświatowych, wynikających z tych ustaw, i związanych z nauką i wychowaniem uczniów.

Więcej można przeczytać na stronie Urzędu Ochrony Danych: Osobowych:https://uodo.gov.pl/pl/138/2164

Czy prywatny numer telefonu sołtysa może stanowić informację publiczną?

Przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2018 r. poz. 1330 z późn. zm.) precyzują wyrażone w art. 61 Konstytucji RP ogólne zasady korzystania z prawa do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne poprzez określenie zasad i trybu udostępniania, informacji publicznej oraz wskazanie właściwych w tym zakresie organów.

Sołtys, który pełni funkcję publiczną ma prawo do swej prywatności. Dane jak numer telefonu służbowego, adres poczty elektronicznej służbowy, adres jego urzędowania są jawne i stanowią informację publiczną.

Jeżeli jednak chodzi o prywatny numer telefonu Sołtysa to posiada on prawo do prywatności, w tym do nierozpowszechniania. W związku z tym prywatny numer telefonu Sołtysa podlega udostępnieniu jedynie za zgodą samego sołtysa.

IOD – Ostrzeżenie

Następują kolejne próby wyłudzeń danych osobowych. Hakerzy podszywający się pod różne podmioty przesyłają linki, załączniki zawierające złośliwe oprogramowanie.

W związku z tym Inspektor Ochrony Danych Osobowych zaleca dokładne sprawdzanie korespondencji email a zwłaszcza adresu nadawcy. 

W przypadku każdej wątpliwości dotyczącej wiadomości e-mail w żadnym wypadku nie należy otwierać załączników ani rozpakowywać folderu zip.

Koniecznie trzeba sprawdzić czy nadawca wiadomości jest prawidłowy. Jeżeli dana wiadomość jest fałszywa informujemy dany podmiot o danym oszustwie a następnie usuwamy ją.

Skutkiem działania złośliwego oprogramowania może być wyciek danych, który trzeba będzie obowiązkowo zgłosić do Urzędu Ochrony Danych Osobowych (UODO) i uruchomić procedury RODO dotyczące naruszeń danych.

Czym są dane osobowe, które podlegają ochronie?

Zgodnie z RODO, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Dane osobowe dzielą się na kategorie:

Udzielanie informacji o stanie zdrowia pacjenta

Rzecznik Praw Pacjenta wraz z Urzędem Ochrony Danych Osobowych opracował „Wytyczne w sprawie realizacji przez osoby uprawnione prawa do informacji o stanie zdrowia pacjenta na odległość”.

Dokument dotyczy sytuacji udzielania informacji przez telefon (lub inny środek komunikacji na odległość) osobom, które są upoważnione przez pacjenta lub są osobami bliskimi.

Wytyczne obejmują również zagadnienia dotyczące kontaktu na odległość z osobą upoważnioną przez pacjenta przytomnego, ale także przez osobę bliską, której pacjent z uwagi na swój stan zdrowia nie mógł nikogo upoważnić do przekazania informacji.

Zapraszamy do zapoznania się z treścią!

https://uodo.gov.pl/pl/138/1787

Obowiązki pracodawcy – ochrona danych osobowych w związku z COVID- 19

Ministerstwo Rodziny i Polityki Społecznej oraz UODO opublikowali poradniki: 

  • “Pracownik i przedsiębiorca w obliczu koronawirusa – praktyczny poradnik”
  • “Oświadczenie Przewodniczącej EROD ws. przetwarzania danych podczas pandemii COVID- 19”.

Poniżej wyszczególniamy kwestie związane z ochroną danych osobowych:

  1. Pracodawca musi poinformować pracowników, iż pojawia się ryzyko zagrożenia wirusem COVID- 19 w czasie wykonywania pracy oraz o zasadach ochrony przed zagrożeniami.
  2. Pracodawca może mierzyć pracownikowi temperaturę ciała, ale wcześniej powinien uzyskać jego zgodę. Niezależnie od tego pracownik ma obowiązek współdziałać z pracodawcą w działaniach dotyczących z ochroną życia i zdrowia.
  3. Pracodawca powinien wymagać informacji dotyczących zdrowia jedynie w zakresie, w jakim zezwala na to prawo krajowe jeśli dotyczy to osób odwiedzających lub pracowników w związku z ich zdrowiem.
  4. Pracodawcy powinni mieć dostęp do danych dotyczących zdrowia i przetwarzać je tylko wtedy, gdy wymagają tego ich własne zobowiązania prawne.
  5. Pracodawcy powinni informować pracowników o przypadkach COVID-19 i podejmować środki ochronne, ale nie powinni przekazywać więcej informacji niż jest to konieczne.
  6. Pracodawcy mogą uzyskać dane osobowe w celu wypełnienia swoich obowiązków i zorganizowania pracy zgodnie z prawem krajowym.

Poniżej zamieszczamy linki, związane z ochroną danych osobowych pracowników jak i pracodawców w związku z panującą pandemią COVID- 19:

https://www.gov.pl/web/rodzina/pracownik-i-przedsiebiorca-w-obliczu-koronawirusa—praktyczny-poradnik

https://www.uodo.gov.pl/pl/138/1463

Wdrożenie RODO w urzędach – Kontrola NIK

Najwyższa Izba Kontroli przeprowadziła kontrole wdrożenia RODO w kilkunastu urzędach wojewódzkich  oraz urzędach dużych miast, a także MSWiA.

Wyniki kontroli zostały opublikowane w Informacji o wynikach kontroli, którą mozna pobrać ze strony:

RODO
RODO NIK

https://www.nik.gov.pl/aktualnosci/rodo-w-urzedach-miast.html

Jak ocenia NIK, administracja publiczna radziła sobie z wyzwaniami związanymi z wprowadzeniem RODO w sposób zadowalający. Należy jednak pamiętać, że kontrolowane były urzędy w największych i dużych miastach, które mają odpowiednie kadry i możliwości finansowe by właściwie zabezpieczyć dane osobowe (zarówno fizycznie jak i technicznie) oraz diagnozować zagrożenia związane z ich zbieraniem, przetwarzaniem i przechowywaniem.”

Jeżeli Wasza organizacja ma wątpliwości czy prawidłowo wprowadziła i stosuje RODO to zapraszamy do skorzystania z naszych usług:

  • Audyt wstępny
  • Opracowanie dokumentacji
  • Wdrożenie dokumentacji
  • Analiza ryzyka i ocena skutkóów dla ochrony danych
  • Certyfikacja
  • Szkolenie dla pracowników i kadry zarządzającej
  • Audyty okresowe oraz przygotowywanie raportów z audytu

 

Zarządzanie ryzykiem – norma ISO

Zarządzanie ryzykiem jest nieodłącznym elementem funkcjonowania każdej organizacji. Niekiedy przepisy nakazują określoną formę przebiegu procesów związanych z identyfikacją, analizą, ewaluacją ryzyka. Taka
sytuacja ma miejsce w kontroli zarządczej w jednostkach sektora finansów publicznych lub w ochronie danych osobowych (RODO) i bezpieczeństwie informacji (KRI).

Podejście oparte na ryzyku wykorzystywane jest również w systemach zarządzania z serii norm ISO (9001, 14001, 45001, 27001).

Wskazówki dotyczące wdrożenia zarządzania ryzykiem, na które narażone są organizacje można znaleźć w normie PN-ISO 31000:2018 Zarządzanie ryzykiem.Wytyczne. Norma ta zastąpiła wcześniejsze wydanie z 2012 roku.

Norma ISO jest uniwersalna i można ją wykorzystywać do każdej organizacji oraz do każdego ryzyka. Wprowadzenie zasad opisanych w normie pozwala na skuteczne zarządzanie ryzykiem.

NW Systemy Zarządzania sp. z o.o. pomaga we wdrożeniu procesu zarządzania ryzykiem, prowadzi szkolenia oraz integruje pozostałymi procesami zarówno w przedsiębiorstwach jak i sektorze publicznym (samorządy, sądownictwo).

Jeżeli jesteście Państwo zainteresowani zapraszamy do kontaktu.