KLAUZULA INFORMACYJNA Zespół Szkolno-Przedszkolny im. Dziedzictwa Cystersów Bierzwnickich w Bierzwniku
Zgodnie z art. 13 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych) informujemy, iż:
1. Administratorem danych osobowych jest Zespół Szkolno Przedszkolny im. Dziedzictwa Cystersów Bierzwnickich w Bierzwniku, znajdujący się na ulicy Sienkiewicza 17, 73 -240 Bierzwnik.
2. Instpektorem Ochrony Danych Osobowych jest Jagoda Jarosz.
3. Przestrzeganie zasad ochrony danych nadzoruje wyznaczony Inspektor Ochrony Danych, z którym można skontaktować się poprzez adres e-mail: jarosz.jagoda@wp.pl
4. Dane osobowe przetwarzane są na podstawie:
a) obowiązków prawnych ciążących na administratorze (zgodnie z art. 6 ust. 1 lit. c Ogólnego rozporządzenia o ochronie danych)
b zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zgodnie z art. 6 ust. 1 lit. e Ogólnego rozporządzenia o ochronie danych)
c) zgody na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów (zgodnie z art. 6 ust. 1 lit. a Ogólnego rozporządzenia o ochronie danych
d) umowy, której stroną jest osoba, której dane dotyczą, lub działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (zgodnie z art. 6 ust. 1 lit. b Ogólnego rozporządzenia o ochronie danych)
Podstawa do przetwarzania danych osobowych zależna jest od rodzaju operacji, jakie wykonywane są na danych osobowych.
5. Odbiorcami danych osobowych są wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa.
6. Dane osobowe przechowywane są przez okres niezbędny do realizacji celów wskazanych w punkcie 3, a po tym czasie przez okres oraz w zakresie wymaganym przez przepisy prawa.
7. Osoba, której dane osobowe przetwarza administrator danych, posiada prawo do (z zastrzeżeniem ograniczeń wynikających z przepisów prawa):
a) dostępu do treści danych (zgodnie z art. 15 Ogólnego rozporządzenia o ochronie danych);
b) sprostowania danych (zgodnie z art. 16 Ogólnego rozporządzenia o ochronie danych);
c) usunięcia danych (zgodnie z art. 17 Ogólnego rozporządzenia o ochronie danych);
d) ograniczenia przetwarzania danych (zgodnie z art. 18 Ogólnego rozporządzenia o ochronie danych);
e) przenoszenia danych (zgodnie z art. 20 Ogólnego rozporządzenia o ochronie danych);
f) prawo do wniesienia sprzeciwu (zgodnie z art. 21 Ogólnego rozporządzenia o ochronie danych);
g) cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
h) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowyc w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy Ogólnego rozporządzenia o ochronie danych.
8. Dane osobowe nie są przetwarzane przez administratora danych w sposób zautomatyzowany i nie są poddawane profilowaniu.
9. Dane osobowe nie są przekazywane do państw trzecich, z wyjątkiem sytuacji przewidzianych w przepisach prawa.
M O D U Ł V
Legalność i zgodność z prawem stosowania monitoringu wizyjnego
1. Podstawy prawne stosowania monitoringu wizyjnego. 2. Arkusz samokontroli legalności i poprawności stosowania monitoringu. 3. Materiały pomocnicze do poprawnego opracowania dokumentacji RODO w zakresie przetwarzania danych szczególnej kategorii 3.1. Wstęp – wyjaśnienie definicji i użytego nazewnictwa. 3.2. Zasady przetwarzania danych osobowych wg RODO. 3.3. Rejestr czynności przetwarzania danych osobowych. 3.4. Umowa powierzenia przetwarzania danych osobowych. 3.5. Najnowsze orzecznictwo SN w sprawie dokumentacji RODO i wyjaśnienia.
1. Podstawy prawne stosowania monitoringu wizyjnego 1.1. Wstęp Prezes Urzędu Ochrony Danych Osobowych w wydanym dokumencie „Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego”, wyd. I, czerwiec 2018, wskazał, „że wprowadzenie monitoringu powinno być poprzedzone analizą w zakresie możliwości zastosowania innych, mniej ingerujących w prywatność środków. Tam, gdzie monitoring już istnieje, powinny być natomiast przeprowadzane konsultacje wraz z przeglądem stanu bezpieczeństwa w związku ze stosowaniem monitoringu, także w celu podjęcia decyzji, czy jego stosowanie jest nadal zasadne.”
https://uodo.gov.pl/pl/138/354. Dodatkowo, w wydanym w dniu 24 sierpnia 2018 roku wspólnie przez MEN i UOD Poradniku RODO, opublikowanym na stronach www ministerstwa https://men.gov.pl/ministerstwo/informacje/ochrona-danych-osobowych-w-szkole-poradnik-uodo-i-men.html napisano: „Monitoring wizyjny jest inwazyjną formą przetwarzania danych osobowych. Dlatego administrator powinien szczególnie wnikliwie przeanalizować potrzebę jego stosowania.
Szkoły są związane zasadami przetwarzania danych osobowych w ramach monitoringu wizyjnego wynikającymi z RODO oraz przepisów bezpośrednio odnoszących się do działalności oświatowej (w szczególności nowych przepisów Prawa oświatowego).
Od 25 maja 2018 r. na szkoły zostały nałożone nowe obowiązki związane z funkcjonowaniem w nich monitoringu wizyjnego:
„(...) Wszystkie szkoły i placówki muszą się do nich dostosować, nawet jeżeli systemy monitoringu wizyjnego były w nich prowadzone wcześniej.”
1.2. Podstawy prawne monitoringu 1. Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), dalej zwane także rozporządzeniem lub RODO.
2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r poz. 1781, dalej zwanej ustawą lub u.o.d.o.), a konkretnie: – art. 111 wprowadzający w Kodeksie pracy po art. 221 art. 222 i art. 223 – art. 154 wprowadzający art. 108a w ustawie z dnia 14 grudnia 2016 r. - Prawo oświatowe (Dz. U. z 2018 r. poz. 996).
3. USTAWA z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz. U. z 2019 r. poz. 730 – obowiązuje od 5 maja 2019 r.
1.3. Zasady stosowania monitoringu wizyjnego W ustawie z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2018 r. poz. 917) po art. 221 dodaje się art. 222 i art. 223 w brzmieniu: Art. 222. § 1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). § 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. § 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. § 4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony w § 3 ulega przedłużeniu do czasu prawomocnego zakończenia postępowania. § 5. Po upływie okresów, o których mowa w § 3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej. § 6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy. § 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy, nie później niż 2 tygodnie przed jego uruchomieniem. § 8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6. § 9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem. § 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1). Art. 223. § 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). § 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika.
W ustawie z dnia 14 grudnia 2016 r. - Prawo oświatowe (Dz. U. z 2018 r. poz. 996) po art. 108 dodaje się art. 108a w brzmieniu: Art. 108a. 1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). 2. Monitoring nie powinien stanowić środka nadzoru nad jakością wykonywania pracy przez pracowników szkoły lub placówki. 3. Monitoring nie obejmuje pomieszczeń, w których odbywają się zajęcia dydaktyczne, wychowawcze i opiekuńcze, pomieszczeń, w których uczniom jest udzielana pomoc psychologiczno-pedagogiczna, pomieszczeń przeznaczonych do odpoczynku i rekreacji pracowników, pomieszczeń sanitarnohigienicznych, gabinetu profilaktyki zdrowotnej, szatni i przebieralni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne ze względu na istniejące zagrożenie dla realizacji celu określonego w ust. 1 i nie naruszy to godności oraz innych dóbr osobistych uczniów, pracowników i innych osób, w szczególności zostaną zastosowane techniki uniemożliwiające rozpoznanie przebywających w tych pomieszczeniach osób. 4. Nagrania obrazu zawierające dane osobowe uczniów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, szkoła lub placówka przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nie dłuższy niż 3 miesiące od dnia nagrania. 5. Po upływie okresu, o którym mowa w ust. 4, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe uczniów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej. 6. Dyrektor szkoły lub placówki informuje uczniów i pracowników szkoły lub placówki o wprowadzeniu monitoringu, w sposób przyjęty w danej szkole lub placówce, nie później niż 14 dni przed uruchomieniem monitoringu. 7. Dyrektor szkoły lub placówki przed dopuszczeniem osoby do wykonywania obowiązków służbowych informuje ją na piśmie o stosowaniu monitoringu. 8. W przypadku wprowadzenia monitoringu dyrektor szkoły lub placówki oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż dzień przed jego uruchomieniem. 9. Dyrektor szkoły lub placówki uzgadnia z organem prowadzącym szkołę lub placówkę odpowiednie środki techniczne i organizacyjne w celu ochrony przechowywanych nagrań obrazu oraz danych osobowych uczniów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, uzyskanych w wyniku monitoringu."
Ustawa z dnia 21 lutego 2019 wprowadza następujące zmiany:
1. Art. 4. W ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.) wprowadza się następujące zmiany:
1)w art. 222:
a) po § 1 dodaje się § 11 w brzmieniu:
„§ 11. Monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej.”,
b) § 2 otrzymuje brzmienie:
„§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.”,
Przepisy przejściowe dotyczące monitoringu i pomieszczeń sanitarnych
Art. 163. 1. Pracodawca, który w dniu wejścia w życie niniejszej ustawy stosuje monitoring pomieszczeń udostępnianych zakładowej organizacji związkowej, o którym mowa w art. 222 § 2 ustawy zmienianej w art. 4 w brzmieniu dotychczasowym, w terminie 14 dni od dnia wejścia w życie niniejszej ustawy zaprzestaje stosowania monitoringu takich pomieszczeń, o czym niezwłocznie informuje zakładową organizację związkową. 2. Pracodawca, który w dniu wejścia w życie niniejszej ustawy stosuje monitoring pomieszczeń sanitarnych, o którym mowa w art. 222 § 2 ustawy zmienianej w art. 4 w brzmieniu dotychczasowym, jest zobowiązany do uzyskania zgody na dalsze stosowanie monitoringu zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy, nie później niż w terminie 30 dni od dnia wejścia w życie niniejszej ustawy. W terminie 3 dni od dnia odmowy udzielenia zgody albo od dnia upływu 30-dniowego terminu na jej udzielenie, pracodawca zaprzestaje stosowania monitoringu takich pomieszczeń, o czym niezwłocznie informuje zakładową organizację związkową albo przedstawicieli pracowników.
2. Art. 22. W ustawie z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2018 r. poz. 1457, 1560, 1669 i 2245) wprowadza się następujące zmiany:
1) po art. 13a dodaje się art. 13b w brzmieniu:
„Art. 13b. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów. 2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.
1. Przepisu ust. 2 nie stosuje się:
1) w przypadku zagrożenia zdrowia ucznia; 2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji; 3) w przypadku, gdy przewidują to przepisy szczególne.”;
3. Art. 148. W ustawie z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz. U. z 2018 r. poz. 996, 1000, 1290, 1669 i 2245 oraz z 2019 r. poz. 534) wprowadza się następujące zmiany:
1) po art. 30 dodaje się art. 30a w brzmieniu: „Art. 30a. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.
2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.
3. Przepisu ust. 2 nie stosuje się: 1) w przypadku zagrożenia zdrowia ucznia; 2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji; 3) w przypadku, gdy przewidują to przepisy szczególne.”;
2) w art. 68 w ust. 1 w pkt 11 kropkę zastępuje się średnikiem i dodaje się pkt 12 w brzmieniu:
Art. 68. 1. Dyrektor szkoły lub placówki w szczególności: „12) wdraża odpowiednie środki techniczne i organizacyjne zapewniające zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych
2. Arkusz samooceny legalności i poprawności stosowania monitoringu
L.p. Podstawa prawna Działanie/czynność 1. Art. 222. § 1 Kodeksu pracy,
Art. 108a. 1. Ustawy – Prawo oświatowe,
Art. 63, art. 7 – Karty Nauczyciela
Art. 68 ust. 1 pkt 6- ustawy – Prawo oświatowe Określenie potrzeby i zasadności korzystania z monitoringu wizyjnego, np.:
• przeprowadzono analizę zdarzeń naruszających integralność fizyczną osób (uczniów, nauczycieli), • dokonano analizy „wypadkowości” w szkole, w tym protokołów wypadków i wnoszonych do ich treści zastrzeżeń, • przeanalizowano liczbę składanych skarg na „bezczynność nauczycieli” na dyżurach, • na podstawie raportów Policji przeanalizowano stan bezpieczeństwa w okolicy, w której znajduje się szkoła, • dokonano analizy czasu pracy pracowników obsługi, • przeanalizowano przypadki zgłaszanych kradzieży mienia szkolnego oraz mienia pracowników, • dokonano analizy infrastruktury szkoły i posesji szkolnej w zakresie zapewniania bezpieczeństwa (ogrodzenia, kraty w oknach, dozór, położenie szkoły,
2. Art. 24 RODO Administrator opracował: • Politykę bezpieczeństwa • Politykę zarządzania ryzykiem • Regulamin monitoringu 3. Art. 30 ust. 1 i 2 RODO Administrator opracował Rejestr czynności przetwarzania w zbiorze „Monitoring” oraz określił kategorię przetwarzania danych osobowych. 4. Art. 35 ust. 1,3 i 4 RODO Czy zostały oszacowane ryzyka w zakresie bezpieczeństwa przetwarzania danych szczególnej kategorii przetwarzania oraz czy został określony sposób reakcji na ryzyka? 5. Art. 5 ust.1 lit. a RODO Dyrektor wydał każdemu pracownikowi, który przetwarza dane osobowe -wizerunek upoważnienia do ich przetwarzania (administracja, wicedyrektor, woźna, nauczyciele). 6. Art. 5 ust.1 lit. a RODO Administrator prowadzi „Ewidencję osób uprawnionych do przetwarzania danych osobowych”. 7. Art. 5 ust.1 lit. a RODO Czy od osób upoważnionych odebrał/a podpisane oświadczenia o poufności? 8. Art. 37 RODO Czy został powołany Inspektor Ochrony Danych (IODO)? 9. Art. 5 ust. 1 ustawy o ochronie danych osobowych Czy IOD został zgłoszony do Urzędu Ochrony Danych? Termin na zgłoszenie wynosi 14 dni od daty powołania. Na stronie Urzędu jest zakładka do elektronicznego zgłaszania inspektorów. Może to zrobić tylko administrator, gdyż wymagany jest zaufany podpis! 10. art. 35 ust. 2 RODO Czy IODO brał udział w szacowaniu ryzyka przy przetwarzaniu danych szczególnej kategorii przetwarzania? 11. Art. 222 § 11 i § 2- Kodeksu pracy Czy monitoring nie obejmuje pomieszczeń, w których odbywają się zajęcia dydaktyczne, wychowawcze i opiekuńcze, pomieszczeń, w których uczniom jest udzielana pomoc psychologiczno-pedagogiczna, pomieszczeń przeznaczonych do odpoczynku i rekreacji pracowników, pomieszczeń sanitarnohigienicznych, gabinetu profilaktyki zdrowotnej, szatni i przebieralni, pomieszczeń zakładowych organizacji związkowych? 12. Art. 222 § 5 Kodeksu pracy Czy w dokumencie Polityka bezpieczeństwa zostały określone zasady niszczenia nośników elektronicznych? 13. Art. 222 § 3 Kodeksu pracy Czy okres przechowywania nagrań z monitoringu nie przekracza 3 miesięcy? 14. Art. 222 § 6 Kodeksu pracy Czy w Regulaminie pracy znajdują się obowiązkowe zapisy o stosowanym monitoringu wizyjnym i zasadach jego wykorzystywania? 15. Art. 222 § 8 Kodeksu pracy Czy w aktach osobowych pracowników znajduje się potwierdzenie o zapoznaniu pracownika z Regulaminem monitoringu? 16. Art. 108a. 1. Ustawy – Prawo oświatowe Czy Dyrektor szkoły przeprowadził konsultacje w sprawie monitoringu z radą pedagogiczną, radą rodziców i samorządem uczniowskim? 17. Art. 108a ust. 9 . Ustawy – Prawo oświatowe Czy dyrektor uzgodnił z organ em prowadzącym środki techniczne i organizacyjne w celu przechowywania nagrań obrazu oraz danych osobowych uczniów, pracowników i innych 18. Art. 28 ust. 1 RODO Czy administrator sporządził umowy powierzenia np. dla firmy hostingowej serwera, firmie konserwującej urządzenia monitoringu? 19. Art. 108a ust. 8 Ustawy – Prawo oświatowe Miejsca objęte monitoringiem wizyjnym są oznakowane stosownymi tabliczkami informacyjnymi:
20. Art. 13 ust. 1 RODO Na tablicy ogłoszeń umieszczono informację zawierającą następującą klauzulę informacyjną: „Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (4.5.2016 L 119/38 Dziennik Urzędowy Unii Europejskiej PL)
informuję, że: 1. Administratorem systemu monitoringu jest dyrektor np. …………………… tel: ..................., mail: ........................................... 2. Kontakt z Inspektorem Ochrony Danych w ............................. możliwy jest pod numerem tel. nr. ……………. lub adresem email (adres email): ......................... 3. Monitoring stosowany jest celu ochrony mienia oraz zapewnienia bezpieczeństwa na terenie monitorowanym. 4. Podstawą przetwarzania jest prawnie usprawiedliwiony interes administratora / przepis prawa. 5. Zapisy z monitoringu przechowywane będą w okresie 30 dni. 6. Osoba zarejestrowana przez system monitoringu ma prawo do dostępu do danych osobowych oraz ograniczenia przetwarzania. 7. Osobie zarejestrowanej przez system monitoringu przysługuje prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych.
Pieczęć Administratora
3. Materiały pomocnicze do poprawnego opracowania dokumentacji RODO w zakresie przetwarzania danych szczególnej kategorii.
3.1. Wstęp – wyjaśnienie definicji i użytego nazewnictwa Ilekroć w materiałach jest mowa o, to oznacza: „przetwarzanie danych osobowych” Art. 4. pkt 2 RODO 2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; Komentarz: Kolorem niebieskim zaznaczono czynności przetwarzania danych osobowych pozyskiwanych poprzez monitorowanie. „Administrator danych osobowych” Art. 4. pkt 7 RODO 7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; Komentarz: W placówce oświatowej administratorem danych osobowych jest tylko i wyłącznie dyrektor ! „podmiot przetwarzający” Art. 4 pkt 8 RODO 8) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, np. firma konserwująca lub naprawcza urządzenia monitoringu. Komentarz: Firmom obsługującym system monitorowania (naprawa, konserwacja) należy przygotować umowę powierzenia. Po podpisaniu przez podmiot przetwarzający należy je trzymać w teczce z dokumentacją RODO. „dane biometryczne” Art. 4 ust. 14 RODO 14) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne; Komentarz: Utrwalany wizerunek stanowi dane osobowe szczególnej kategorii przetwarzania
3.2. Zasady przetwarzania danych osobowych na podstawie RODO „Zgodność przetwarzania z prawem”
Artykuł 6 Zgodność przetwarzania z prawem
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; (Kodeks pracy, rekrutacja do szkół, Prawo bankowe, ustawa o samorządzie) d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; (klęski żywiołowe, humanitarne) e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; (działalność fundacji, zrzeszeń, ochrony socjalnej, 500*) f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. (rejestr korespondencyjny, rejestr wejść, monitoring, marketing bezpośredni) Komentarz: Podstawa prawną wykorzystywania przez administratora monitoringu wizyjnego jest art. 6 ust. 1 lit. f – administrator ma i musi go wykazać „uzasadniony interes” np. zapewnienie bezpieczeństwa, ochrona mienia szkoły, etc. Zasady przetwarzania danych W przepisach RODO sformułowanych zostało 7 zasad przetwarzania danych osobowych. Zasady określono w samej ustawie i wskazano kary administracyjne za ich nieprzestrzeganie, co oznacza, że są bardzo istotne i muszą być bezwzględnie przestrzegane. Te zasady to: 1) zasada zgodności z prawem, rzetelności i przejrzystości, 2) zasada ograniczenia celu przetwarzania danych, 3) zasada minimalizacji danych, 4) zasada prawidłowości danych, 5) zasada ograniczenia przechowania danych, 6) zasada integralności i poufności danych, 7) zasada rozliczalności. Zasada zgodności z prawem, rzetelności i przejrzystości
Zasada ograniczenia celu przetwarzania danych Cel przetwarzania danych musi być wyraźnie określony oraz zgodny z prawem. Przewidziano również wyjątki pozwalające na przetwarzanie danych do celów innych niż te, dla których dane zostały pierwotnie zebrane (szczegółowo opisane w motywie 50 preambuły).
Zasada minimalizacji danych Zgodnie z zasadą minimalizacji danych, zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych. Innymi słowy, każdy podmiot przetwarzający dane musi dokonać selekcji danych i wybrać tylko taką ich ilość oraz rodzaj jakie są dla niego niezbędne. Warto podkreślić, że zgodnie z RODO, przetwarzanie danych powinno być organiczne wyłącznie do tych sytuacji, gdy określony cel przetwarzania nie może być osiągnięty innymi środkami (fragment motywu 39 preambuły oznaczony boldem w tabeli powyżej).
art. 5 ust. 1 lit. c 1. Dane osobowe muszą być: (…) c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); Motyw 39: (…) Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu (…).
Komentarz: Administrator jest zobowiązany wykazać, że zapewnienie bezpieczeństwa uczniom i pracownikom nie może być zapewnione w całości tylko poprzez dyżury nauczycieli!
Zasada prawidłowości danych Zasada prawidłowości danych jest kolejną zasadą w przepisach RODO. Przestrzeganie zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie rozwiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych. Nieprawidłowe dane muszą być usuwane lub prostowane.
art. 5 ust. 1 lit. d 1. Dane osobowe muszą być: (…) d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
Zasada ograniczenia przechowania danych Zasada ograniczenia przechowania danych sprowadza się do tego, aby okres przetwarzania danych był ograniczony do czasu jaki jest niezbędny do tego, aby osiągnąć założony cel przetwarzania danych. Komentarz: W przypadku zapisu monitoringu wizyjnego nie można przechowywać danych powyżej 3 miesięcy! Osiągniecie tego będzie możliwe poprzez wdrożenie odpowiednich procedur wyznaczających terminy przechowania danych (okresy retencji) lub procedur określających terminy okresowych przeglądów danych.
art. 5 ust. 1 lit. e 1. Dane osobowe muszą być: (….) e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1,
Zasada integralności i poufności danych Realizacja zasady integralności i poufności danych będzie więc polegała na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki”, to środki wprowadzone przez administratora w celu zabezpieczenia danych osobowych przed nieuprawnionym dostępem.
art. 5 ust. 1 lit. f 1. Dane osobowe muszą być: (….) f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Motyw 39: (…) Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.
Zasada rozliczalności Administrator będzie więc musiał wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne. L art. 5 ust. 2 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
1. Administrator danych – w placówce oświatowej administratorem danych osobowych jest Dyrektor placówki. Nie można upoważnić innej osoby do sprawowania do sprawowania funkcji „administratora”. To dyrektor placówki jednoosobowo odpowiada za prawidłowość przetwarzania powierzonych danych osobowych oraz za ich zabezpieczenie! Dyrektor w razie kontroli prawidłowości przetwarzania danych przez Urząd Ochrony Danych jest zobowiązany, zgodnie z zasadą „rozliczalności” wykazać, że wprowadził właściwe środki zabezpieczenia przetwarzania danych tj. środki organizacyjne, techniczne oraz wdrożył środki szybkiego przywracania dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego w stosunku do oszacowanego ryzyka. – art. 32 RODO (poniżej)
Artykuł 32 Bezpieczeństwo przetwarzania
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 2. Środki techniczne – to forma zabezpieczeń, które zostały zdiagnozowane, a ich wykaz znajdował się w przesłanym do nas audycie, np. kraty w oknach, zamki w drzwiach, ochrona budynku, gaśnice, drzwi antywłamaniowe, systemy alarmowe, czujniki wilgotności, czujniki zadymienia, UPS, programy antywirusowe, firewall sprzętowy, programowy, sondy IDS/IPS, zabezpieczenia pracy użytkowników: zahasłowane wygaszacze ekranów, poufne ustawienia monitorów, filtry polaryzacyjne, terminacja sesji , etc. 3. Środki organizacyjne - to forma zabezpieczeń, które wdrożył sam administrator np. Procedury postępowania (polityki), Regulamin ODO, szkolenia pracowników w formie e-learningu, umowy powierzenia, instrukcje, ograniczenia dostępu do pomieszczeń, procedura audytu, etc., 4. Zbiór danych – jest to zestaw danych osobowych dostępnych wg określonego kryterium – art. 4 ust. 6 RODO. „ 6) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;”
3.3. Rejestr czynności przetwarzania – art. 30 RODO
(82) Dla zachowania zgodności z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni mieć obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania.
Artykuł 30 Rejestrowanie czynności przetwarzania 1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje: a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi,
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. 2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje: a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń; d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. 3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną. 4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego. 5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10
Jak zauważyliście Państwo w ust. 3 wyraźnie napisano, że rejestry muszą mieć formę pisemną! Każdy organ kontrolny będzie żądał okazania tych rejestrów! WNIOSEK ! 1. W związku z faktem przetwarzania w placówce oświatowej szczególnej kategorii danych osobowych (dane tzw. wrażliwe, o stanie zdrowia – orzeczenia, opinie, wyroki sądu rodzinnego i biometryczne- wizerunek), dyrektor placówki oświatowej jest obowiązany prowadzić rejestr czynności przetwarzania.
2. Te informacje należy zamieścić w rejestrze czynności przetwarzania danych osobowych Katalog informacji, jakie będą musiały znaleźć się w rejestrze czynności przetwarzania danych, w dużej mierze pokrywa się z informacjami, jakie dotychczas administratorzy danych podawali, zgłaszając zbiór do Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z art. 30 RODO rejestr czynności przetwarzania danych powinien zawierać: 1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora, a także wszelkich współadministratorów, i gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych, 2) cel lub cele przetwarzania, 3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, 4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych, 5) przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, 6) planowane terminy usunięcia poszczególnych kategorii danych, 7) opis technicznych i organizacyjnych środków bezpieczeństwa mających zapewnić odpowiedni poziom bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO. Wskazane niżej rejestry powinny formę pisemną, w tym formę elektroniczną. W przeciwieństwie do polskiego kodeksu cywilnego, w którym forma pisemna i forma elektroniczna to dwie osobne formy, w RODO forma elektroniczna jest jedną z form pisemnych. W świetle RODO, w odróżnieniu od kodeksu cywilnego, do zachowania formy elektronicznej nie potrzeba bezpiecznego podpisu z kwalifikowanych certyfikatem.
Artykuł 32 Bezpieczeństwo przetwarzania 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. 2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Wzór - Karta rejestru czynności przetwarzania przez administratora na podstawie art. 30 ust. 1 RODO
Rejestr czynności przetwarzania danych osobowych w zbiorze „ .................................................................................” Nr karty ............ art. 30 ust. 1 lit. a imię i nazwisko / nazwa oraz dane kontaktowe administratora Szkoła Podstawowa Nr ..... w ..............., ul..........., 15-563 Białystok; tel ..............., e-mail: dyrektor@ ..................... imię i nazwisko / nazwa oraz dane kontaktowe współadministratorów .............................................. imię i nazwisko Inspektora Ochrony Danych, kontakt Jak Kowalski, tel. ........................ e-mail: inspektor@............................
art. 30 ust. 1 lit. b cele przetwarzania
art. 30 ust. 1 lit. c kategoria osób
opis kategorii danych osobowych
kategorie danych osobowych
art. 30 ust. 1 lit. d kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione kategorie odbiorców w państwach trzecich lub w organizacjach międzynarodowych
art. 30 ust. 1 lit. f planowane terminy usunięcia poszczególnych kategorii danych
art. 30 ust. 1 lit. d ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. Zabezpieczenia organizacyjne: 1. Regulamin ochrony danych, zawierający instrukcje dla pracowników w zakresie przetwarzania danych, 2. Szkolenia pracownikow, 3. Procedura przywracania danych w razie incydentu, 4. Audyty. 5. Polityka kluczy. Zabezpieczenia fizyczne: 6. Zabezpieczenie dostępu do pomieszczeń biurowych, serwerowni, składnicy akt, 7. Kraty w oknach, gaśnice, czujniki dymu, 8. Zabezpieczony dostęp do dokumentacji ( szafy zamykane na klucz, sejfy, drzwi antywłamaniowe....) 9. Ochrona fizyczna budynku, 10. Wyznaczono „strefę dostepu”. Zabezpieczenia techniczne: 11. Monitoring wizyjny, 12. Klimatyzacja, 13. Systemty UPS/ agregat prądotwórczy, 14. Gaśnice, czujniki dymowe. Zabezpieczenia informatyczne: 15. System antywirusowy i antyspamowy, 16. Szyfrowanie nośników , 17. Wykonywanie backupów, 18. Obowiązek uwierzytelniania, 19. Wygaszacze ekranu, 20. Dostęp za pomocą haseł, 21. Instrukcja postepowania z nośnikami danych, 22. Serwery Proxy i bramki filtrujące, 23. Instrukcja dokonywania napraw urządzeń elektronicznych w serwisach zewnętrznych; 24. ..................................................................................................................... 25. .................................................................................................................... 26. ...................................................................................................................
Rejestr czynności przetwarzania w zbiorze „11 - Monitoring”
Czynności w zbiorze 04: Monitorowanie stanu bezpieczeństwa osób i mienia. Nr karty 27 art. 30 ust. 1 lit. a imię i nazwisko / nazwa oraz dane kontaktowe administratora Szkoła ............................ w .........................................z siedzibą w .................przy ul. ........................ 2 tel: ......................................... e-mail: ............................... imię i nazwisko Inspektora Ochrony Danych, kontakt Grzegorz Linowski e-mail: iodo@ecrklex.pl
art. 30 ust. 1 lit. b cele przetwarzania Art. 6 ust. 1 lit. f Rozporządzenia 2016/679: Realizacja ustawowych obowiązków administratora zgodnie z ustawą z dnia 26 czerwca 1974 r. – Kodeks pracy – art. 222
art. 30 ust. 1 lit. c kategoria osób Osoby znajdujące się na terenie placówki i wewnątrz placówki opis kategorii danych osobowych • Dane osobowe szczególnej kategorii przetwarzania – wizerunek
art. 30 ust. 1 lit. d kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione Służby miejskie oraz pracownicy policji w sytuacjach naruszenia prawa i bezpieczeństwa osób i mienia
art. 30 ust. 1 lit. f planowane terminy usunięcia poszczególnych kategorii danych Dane szczególnej kategorii przetwarzania • 30 dni lub do zakończenia postępowania w sprawie o naruszenie bezpieczeństwa osób lub niszczenia mienia
art. 30 ust. 1 lit. g ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1. • Wdrożono środki szybkiego przywracania dostępności danych osobowych i dostepu do nich w razie incydentu fizycznego lub technicznego, • Stosowane są środki techniczne i organizacyjne, aby zapewnić poufność, integralność, dostepność i odporność systemów i usług przetwarzania, • Przeprowadzane są regularnie kontrole i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
3.4. Umowa powierzenia przetwarzania danych osobowych pozyskanych poprzez system monitoringu
Umowa powierzenia przetwarzania danych osobowych
zawarta dnia ………w ……. pomiędzy: SZKOŁA .................. w Białymstoku przy ul. …………………….., zwanym dalej „Administratorem danych” reprezentowanym przez .........................................– Dyrektora Zespołu, a ………………………………………………………………………………………………………… zwanym dalej „Zleceniobiorcą” reprezentowanym przez: ………………………………………..
§ 1 Powierzenie przetwarzania danych osobowych 1. Administrator danych powierza Zleceniobiorcy, w trybie art. 28 ogólnego Rozporządzenia PE i RE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (zwanego w dalszej części „RODO”), dane osobowe do przetwarzania zgodnie z zapisami i w celu realizacji niniejszej Umowy powierzenia danych osobowych zwanej dalej „Umową”. 2. Zleceniobiorca zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 3. Zleceniobiorca zobowiązuje się stosować ochronę powierzonych danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zgodnie z zasadą „integralność i poufność”).
§ 2 Zakres i cel przetwarzania danych 1. Zleceniobiorca będzie przetwarzał, powierzone na podstawie umowy dane szczególnej kategorii przetwarzania – „wizerunek” wyłącznie w celu realizacji umowy na konserwację sprzętu systemu monitoringu.
§ 3 Obowiązki podmiotu przetwarzającego 1. Zleceniobiorca zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 2. Zleceniobiorca zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy i zobowiąże osoby uprawnione do przetwarzania tych danych do zachowania poufności zarówno w trakcie zatrudnienia ich u Zleceniobiorcy, jak i po jego ustaniu. 3. Zleceniobiorca po zakończeniu świadczenia usług, zobowiązany jest do usunięcia do usunięcia powierzonych danych w czasie ……… dni z wszystkich nośników, programów i aplikacji, chyba że wymogi prawne obowiązujące Zleceniobiorcę stanowią inaczej. 4. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. 5. Zleceniobiorca po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w ciągu …...
§ 4 Kontrola 1. Administrator danych ma prawo kontroli, czy środki zastosowane przez Zleceniobiorcą przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy. 2. Administrator danych może dokonać kontroli po uprzednim uzgodnieniu terminu ze Zleceniobiorcą w dni robocze w godzinach pracy obowiązujących u Zleceniobiorcy, przy czym Zleceniobiorca dołożyć wszelkich starań, aby było to najbliższy możliwy termin. 3. Zleceniobiorca udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia przez Zleceniobiorcę obowiązków określonych w art. 28 RODO. 4. W przypadku stwierdzenia uchybień w przetwarzaniu czy zabezpieczaniu danych Zleceniobiorca zobowiązuje się do ich w terminie uzgodnionym z Administratorem danych jednak nie dłuższym niż 14 dni robocze.
§ 5 Dalsze powierzenie danych do przetwarzania 1. Zleceniobiorca może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych. 2. Zleceniobiorca ponosi pełną odpowiedzialność wobec Administratora danych za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych zgodnych z niniejszą umową i RODO.
§ 6 Odpowiedzialność Zleceniobiorcy 1. Zleceniobiorca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. 2. Zleceniobiorca zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Zleceniobiorcę danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Zleceniobiorcy, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Zleceniobiorcy danych osobowych powierzonych niniejszą umową, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych.
§ 7 Zasady zachowania poufności
1. Zleceniobiorca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z ni |