Jak podaje art. 61 Konstytucji RP, każdy obywatel ma prawo dostępu do informacji publicznej. Do udzielenia informacji publicznej może dojść z inicjatywy podmiotu posiadającego informację lub na wniosek – wyrażony w formie ustnej lub pisemnej – osoby zainteresowanej. Jeśli wniosek o udzielenie informacji publicznej zostanie złożony pisemnie, wnioskodawca powinien w nim określić, w jaki sposób (np. wydruk, kserokopia, fotokopia, nośnik CD, nośnik DVD) i w jakiej formie (np. przesyłka pocztą elektroniczną lub tradycyjną, odbiór osobisty) dyrektor ma udostępnić informację publiczną. 

Dokument może być wykorzystany do każdego typu szkoły, w której przetwarza się dane osobowe. Dokument jest elementem polityki bezpieczeństwa danych osobowych będących w dyspozycji szkoły, a także kontroli zarządczej. Dokument podlega modyfikacji właściwej do specyfiki szkoły oraz w razie każdej stwierdzonej potrzeby lub/i aktualizacji.
 

Przedszkole, jako administrator danych osobowych musi dołożyć wszelkich starań, aby dane były zbierane, przetwarzane i chronione zgodnie z prawem. W związku z tym, obowiązkiem dyrektora jest ustalenie polityki ochrony danych osobowych i ich zbiorów oraz zobowiązanie pracowników przedszkola do jej stosowania. 

Prowadzenie strony internetowej w szkole wymaga przestrzegania wielu przepisów, zarówno tych związanych z ochroną danych osobowych, jak i przepisów o prawie autorskim. Pytania, zawarte w arkuszu kontrolnym funkcjonowania szkolnych stron internetowych pozwolą Ci na sprawdzenie, czy w Twojej szkole nie występują żadne nieprawidłowości w tej mierze. 

Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. Dlatego też w przypadku, gdy chcemy wykorzystać zdjęcie dziecka, musimy uzyskać zgodę jego rodziców lub prawnych opiekunów. Zgoda taka powinna być wyrażona na piśmie. Powinna ona również wskazywać, gdzie będzie wykorzystane zdjęcie czy wizerunek dziecka, a także jaki jest cel tej publikacji. 

Przetwarzanie danych osobowych jest możliwe za zgodą osoby, której te dane dotyczą. Powinna być ona wyrażona na piśmie z wyraźnym wskazaniem podmiotu, który te dane będzie przetwarzał oraz celu, dla którego będą one przetwarzane. Zgoda ta może być odwołana w każdym czasie. 

Do przetwarzania danych osobowych pracowników szkoły może być dopuszczona wyłącznie osoba, która ma stosowne upoważnienie, nadane przez dyrektora szkoły. W upoważnieniu jest zapis dotyczący obowiązku zachowania w tajemnicy informacji pochodzących z akt osobowych pracowników. 

Powierzenie przetwarzania danych osobowych innemu podmiotowi może nastąpić tylko na podstawie umowy zawartej na piśmie. Podmiot zewnętrzny może przetwarzać dane wyłącznie w zakresie i w celu przewidzianym w zawartej umowie. Podmiot, który będzie przetwarzał dane, zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. 

Przetwarzanie danych osobowych niesie ze sobą wiele zagrożeń. Dlatego też warto wiedzieć jak przeciwdziałać naruszeniom w zakresie ochrony danych osobowych i jakie środki podjąć w przypadku ich naruszenia. Poniżej znajdą państwo tabelę, w której podane zostały możliwe naruszenia i odpowiednie do nich sposoby postępowania. 

Dyrektor szkoły, jako administrator danych osobowych, zobowiązany jest do opracowania i upowszechnienia dokumentacji dotyczącej przetwarzania danych osobowych. Do takiej dokumentacji należy instrukcja zarządzania systemem przetwarzania danych osobowych w szkole. 

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. W szkole administratorem danych jest dyrektor szkoły. W związku z tym konieczne jest stosowne upoważnienie pracownika do przetwarzania danych osobowych uczniów lub ich rodziców, czy opiekunów prawnych np. w celu prowadzenia dokumentacji szkolnej. 

Wniosek wypełniamy poprzez wstawienie znaku „X” w miejscach, w których udzielamy odpowiedzi twierdzącej. Pozostałe pola pozostawiamy puste. Miejsca wykropkowane, które nas nie dotyczą przekreślamy. Jeśli nasza odpowiedź nie mieści się w wyznaczonych miejscach dalszą jej część możemy dołączyć jako załączniki (pamiętajmy jednak o ich ponumerowaniu). Zgłoszenie możemy wysłać poprzez serwis eGIODO, pocztą lub złożyć osobiście w siedzibie GIODO. Warto na stronie pierwszej wniosku zamieścić np. logo Generalnego Inspektora Ochrony Danych Osobowych.

Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej oraz środki ochrony w ramach narzędzi programowych i baz danych, podobnie jak wszystkie inne środki zabezpieczające, powinny być dostosowane do specyfiki konkretnej placówki oraz możliwych zagrożeń.

Procedury wykonywania czynności konserwacyjnych systemu, gdy zleca się je osobom nieposiadającym upoważnień do przetwarzania danych (np. firm zewnętrznych), powinny określać sposób nadzoru nad nimi.
W przypadku przekazywania do naprawy nośników informatycznych zawierających dane osobowe należy wcześniej usunąć z nich danych osobowe.

 

Sposób, miejsce i okres przechowywania elektronicznych nośników informacji (np. płyt CD) oraz kopii zapasowych każda szkoła ustala indywidualnie – mając na uwadze zapewnienie bezpieczeństwa przetwarzanych przez placówkę danych.
Kopie zapasowe należy przechowywać w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem.
 

W rozdziale 5 Instrukcji zarządzania należy zamieścić informacje dotyczące m.in. tego, kto nadzoruje wykonywanie kopii zapasowych, w jakim trybie i jak często są one tworzone (automatycznie/codziennie/tygodniowo/miesięcznie), na jakich nośnikach są one zapisywane, kto ma do nich dostęp. Konieczne jest również określenie metody ich sporządzania (kopia przyrostowa, kopia całościowa). Należy pamiętać także o uregulowaniu kwestii likwidacji nośników zawierających dane osobowe.
Istotne jest, aby procedura likwidacji nośników zawierających dane osobowe uwzględniała wymogi zawarte w pkt VI ppkt 1 załącznika do rozporządzenia. Nakazują one, aby urządzenia, dyski lub inne informatyczne nośniki, przeznaczone do likwidacji, pozbawiać zapisu danych, a gdy nie jest to możliwe – uszkadzać w sposób uniemożliwiający ich odczytanie (nie wystarczy zatem samo skasowanie podstawową komendą systemu operacyjnego).
Opracowując tę część warto skorzystać z pomocy informatyka pracującego w szkole – z pewnością udzieli on wszystkich informacji niezbędnych dla przygotowania opisu powyższej procedury.
 

Opisane procedury zazwyczaj przebiegają tak samo w każdej szkole. Ewentualne różnice należy oczywiście uwzględnić poprzez odpowiednią modyfikację powyższych postanowień.
Wbrew pozorom wymienione w procedurach informacje stanowią zestaw podstawowych, ale bardzo ważnych zasad pozwalających zwiększyć bezpieczeństwo przetwarzanych danych. Dlatego też każda osoba mająca dostęp do systemów informatycznych powinna je znać i ich przestrzegać.
 

Opis metod i środków mających na celu potwierdzanie tożsamości użytkownika określonego systemu stosowanego w szkole, zazwyczaj odbywa się poprzez loginy i hasła.

Procedury związane z nadawaniem uprawnień do przetwarzania danych osobowych są bardzo ważną częścią Instrukcji zarządzania. Powinny one wskazywać m.in. kto nadaje uprawnienia, komu i w jaki sposób. Należy tu również uregulować kwestię odnotowywania informacji o nadanych uprawnieniach w przeznaczonym do tego rejestrze.
Proces nadawania uprawnień może przebiegać w każdej szkole inaczej. Powinien on bowiem uwzględniać zasady funkcjonowania konkretnej placówki.
 

Uwaga! Nie należy mylić UPRAWNIEŃ dostępu do konkretnych systemów informatycznych z UPOWAŻNIENIAMI do przetwarzania danych osobowych. Uprawnienia są wtórne w stosunku do upoważnień. Oznacza to, że dyrektor nie może nadać pracownikowi uprawnienia dostępu do konkretnego systemu informatycznego, np. SIO, jeśli wcześniej nie upoważnił go do przetwarzania danych osobowych.
 

Załącznik nr 9 do Polityki bezpieczeństwa placówki

Załącznik nr 8 Polityki bezpieczeństwa placówki

 Załącznik nr 7 do Polityki bezpieczeństwa placówki

Załącznik nr 6 do Polityki bezpieczeństwa placówki

Załącznik nr 5 do Polityki bezpieczeństwa placówki

Załączniki do Polityki bezpieczeństwa placówki, zarówno dla pracowników zatrudnionych na umowę o pracę oraz dla innych niż zatrudnionych na umowę o pracę.

Załącznik nr 3 do Polityki bezpieczeństwa placówki

Załącznik nr 2 do Polityki bezpieczeństwa placówki

Właściwe zabezpieczenie danych jest obowiązkiem każdej szkoły. Przedsięwzięte środki powinny uwzględniać m.in. rodzaje i formę przetwarzanych danych, a także możliwe zagrożenia.
Najłatwiej ten dokument opracować w formie tabeli, w której zaznaczymy, które środki stosowane są przez placówkę. Z kolei jeśli określone zabezpieczenie dotyczy np. wyłącznie niektórych pomieszczeń, informację tę możemy zapisać w uwagach.
Bardzo istotne są również środki odnoszące się do systemów informatycznych – można je jednak zamieścić w Instrukcji zarządzania systemem informatycznym, który kompleksowo odnosi się do tej właśnie formy przetwarzania danych osobowych.
 

Cel opracowania tej części Polityki Bezpieczeństwa to wskazanie, jak systemy informatyczne, z których korzysta szkoła, współpracują ze sobą. Zadaniem dyrektora jest zatem odpowiedź na pytanie, czy, a jeśli tak to w jaki sposób dochodzi do przepływu danych z różnych systemów.
Opisując sposób przepływu danych należy nie tylko wskazać system źródłowy (w którym pierwotnie przetwarzane są dane) oraz system docelowy (do którego dane przesyłamy), ale także określić sposób transmisji danych. Eksport/import danych może odbywać się w sposób manualny (operacje dokonywane przez użytkownika – np. kopiuj – wklej) lub poprzez przesyłanie danych przy użyciu sieci publicznej.
Dla ułatwienia, przepływ danych możemy przedstawić również w formie graficznej.
 

Opis struktury zbiorów stanowi uszczegółowienie tabeli zawartej w rozdziale 6 Polityki Bezpieczeństwa. Wskazujemy w nim zakres danych przetwarzanych w poszczególnych zbiorach. Zakres danych opisujemy poprzez określenie kategorii (rodzajów) danych, jakie „wchodzą w skład” wyróżnionych przez nas zbiorów danych.
 

Wykaz zbiorów danych wskazuje, jakie zbiory danych są przetwarzane przez szkołę oraz przy użyciu jakich systemów informatycznych procesy te się odbywają. Najłatwiej wykaz zbiorów sporządzić w formie tabeli – będzie on wówczas bardziej przejrzysty i zrozumiały.
Zazwyczaj w szkołach występują podobne zbiory danych. Ze względu na specyfikę określonej placówki mogą jednak zachodzić pewne różnice. Dlatego też opracowując ten fragment Polityki Bezpieczeństwa musimy zawsze dostosowywać go do konkretnej szkoły.
 

W każdej szkole szczególnej ochronie powinny podlegać dzienniki lekcyjne oraz inne dokumenty, które zawierają dane osobowe uczniów (np. opinie z poradni psychologiczno-pedagogicznej). Dlatego też niezbędne jest opracowanie procedur postępowania, które zwiększą bezpieczeństwo zawartych w nich danych.

Instytucję powierzenia przetwarzania danych osobowych stosujemy przykładowo w sytuacji, gdy zlecamy innemu podmiotowi prowadzenie dokumentacji kadrowo-księgowej lub w przypadku prowadzenia szkolnej strony internetowej przez firmę zewnętrzną. Jeśli dostęp do danych osobowych będą miały mieć osoby spoza szkoły, wówczas placówka musi zawrzeć (w formie pisemnej) umowę powierzenia przetwarzania danych osobowych.
Ponieważ w praktyce bardzo często korzysta się z powierzenia przetwarzania danych osobowych, w Polityce Bezpieczeństwa warto wprowadzić przynajmniej kilka postanowień odnoszących się do tego zagadnienia.

Przykładowy wykaz uprawnień i obowiązków Administratora Systemów Informatycznych należy wprowadzić w odpowiednim miejscu Polityki Bezpieczeństwa placówki.

Procedury związane z nadawaniem upoważnień do przetwarzania danych osobowych stanowią bardzo istotną część Polityki Bezpieczeństwa. Proces nadawania upoważnień może przebiegać odmiennie w różnych placówkach. Powinien on bowiem uwzględniać specyfikę szkoły i być dostosowany do zasad jej funkcjonowania. Prezentowany dokument stanowi przykład tego typu procedury.

Prezentowany przykład wykazu uprawnień i obowiązków Administratora Bezpieczeństwa Informacji należy wpisać w odpowiedni fragment Polityki Bezpieczeństwa placówki.

Prezentowany dokument jest przykładem polityki bezpieczeństwa i zawiera wszystkie elementy, jakie wymagane są w rozporządzeniu.

Propozycja wzoru upoważnienia dostępu do danych osobowych może być wykorzystana w każdym typie placówki oświatowej.

Propozycja wzoru rejestru upoważnień dostępu do danych osobowych może być wykorzystana w każdym typie placówki oświatowej.

Propozycja procedury polityki bezpieczeństwa w zakresie ochrony danych osobowych może być wykorzystana w każdym rodzaju placówki oświatowej.

Propozycja wzoru oświadczenia o wyrażeniu zgody dostępu do danych osobowych może być wykorzystana w każdym typie placówki oświatowej.

Wzór oświadczenia składanego przez osobę upoważnioną do dostępu i przetwarzania danych osobowych jest propozycją do wykorzystania w każdym typie placówki oświatowej.