RODO

< class="item_title"> Jak określać czas przechowywania upoważnień do przetwarzania danych byłego pracownika?

W związku z przechowywaniem upoważnień pracowników do przetwarzania danych osobowych wraz z oświadczeniami o przeszkoleniu i zachowaniu poufności, proszę o wskazówki, jak określać czas przechowywania upoważnień osób, z którymi pracodawca zakończył współpracę. Istnieją sprzeczne interpretacje w tym zakresie (od przechowywania upoważnień przez okres dotyczący archiwizowania akt osobowych pracownika do stanowiska mówiącego o konieczności usuwania upoważnień zaraz po zakończeniu zatrudnienia pracownika).

Decydujące dla udzielenia odpowiedzi na postawione pytanie jest określenie, na jakiej podstawie prawnej i w jakim celu przetwarzane są dane osobowe pracowników zawarte w upoważnieniach do przetwarzania danych osobowych.

Wydawanie upoważnień może być jednym ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych osobowych i kontroli nad tym, kto, z jakich powodów i w jaki sposób ma dostęp do przetwarzanych danych osobowych oraz jakich czynności może na nich dokonywać. Przyjmowane przez administratora środki (działania) powinny służyć m.in. zapobieganiu nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych oraz zapewnieniu, że osoby uprawnione będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem. Dzięki tym środkom osoby, które zostały dopuszczone do przetwarzania danych, zostają poinformowane, jaki jest zakres ich uprawnień co do przetwarzania danych osobowych.

Przepisy RODO nie wskazują na konieczność nadawania upoważnień w formie pisemnej, ale może to wynikać z przepisów szczególnych. Przykładem przepisu nakładającego obowiązek sporządzenia upoważnienia w formie pisemnej jest art. 221b § 3 Kodeksu pracy, który wskazuje, że do przetwarzania danych osobowych, o których mowa w art. 9 ust. 1 RODO, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

Jak wynika z § 3 pkt 2 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej, w części B akt osobowych należy przetrzymywać oświadczenia lub dokumenty dotyczące nawiązania stosunku pracy oraz przebiegu zatrudnienia pracownika, w tym np. oświadczenia lub dokumenty dotyczące danych osobowych, gromadzone w związku z nawiązaniem stosunku pracy.

Przytoczony przepis jest podstawą do przechowywania w części B akt osobowych pracownika upoważnień nadawanych pracownikom zarówno w związku z wykonaniem obowiązku określonego w art. 221b § 3 Kodeksu pracy, jak i w przypadku gdy pracodawca nadaje upoważnienia do przetwarzania danych osobowych, traktując je jako jeden ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania.

W sytuacji, gdy upoważnienia stanowią część określonej dokumentacji, czas ich przechowywania może wynikać z przepisów określających zasady i sposób prowadzenia takiej dokumentacji. W przypadku, gdy są one częścią dokumentacji pracowniczej (akt osobowych) należy odwołać się do przepisów Kodeksu pracy oraz rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej oraz przepisów ustawy z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją, które przewidują skrócenie (w zależności od tego, kiedy pracownik został zatrudniony) dotychczas obowiązujących terminów przechowywania dokumentacji pracowniczej.

 

Źródło: https://uodo.gov.pl/pl/225/2305

 

18-02-2022

 

 

więcej
< class="item_title"> Jak powinien zareagować dyrektor na wniosek o usunięcie danych osobowych?

Reakcją administratora na wniosek o usunięcie danych osobowych winno być usunięcie tych danych zgodnie z żądaniem, jeśli spełnione są przesłanki uwzględnienia wniosku z art. 17 ust. 1 RODO.

 

Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomnianym”)

1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a)      dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b)      osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c)      osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d)      dane osobowe były przetwarzane niezgodnie z prawem;

e)      dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f)       dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

W szczególności żądanie usunięcia danych powinno być zrealizowane, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane bądź osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania.

W każdym indywidualnym przypadku administrator danych zobowiązany jest ustalić, czy na podstawie dotychczas posiadanych przez siebie informacji jest w stanie ustalić tożsamość osoby, która wystąpiła z żądaniem. Dopiero w razie niemożności zweryfikowania tożsamości osoby żądającej usunięcia danych administrator może zażądać dodatkowych informacji od podmiotu danych. Dla potwierdzenia tożsamości podmiotu, który zażądał usunięcia danych wystarczający może okazać się zwykły e-mail zawierający skan podpisanego żądania o usunięcie danych (np. w sytuacji gdy e-mail wysłany został ze znanego administratorowi danych adresu albo gdy podpis na skanie dokumentu jest zgodny z podpisem znajdującym się na dokumentach składanych do tej pory przez podmiot danych). Natomiast chodzi o e-mail czy pismo, które zawiera żądanie usunięcia danych, to ze względu na zasadę rozliczalności i uprawnienia podmiotów danych (np. prawo do przeniesienia danych) administrator powinien rozważyć pozostawienie e-miala, pisma w dokumentacji, ale jednoczesne podjęcie czynności prowadzących do zminimalizowania zawartych w nich danych osobowych.

Zapraszamy na szkolenia dotyczące ochrony danych osobowych,gdzie odpowiemy na wiele innych pytań nurtujących ADO, IOD.

 

Dariusz Skrzyński

17-09-2019

więcej
< class="item_title"> Jak Prezes UODO nakłada administracyjne kary pieniężne?

Na stronach Urzędu Ochrony Danych Osobowych pojawia się coraz więcej informacji dotyczących nałożenia kar finansowych przez Prezesa UODO. Warto wiedzieć jakie okoliczności bierze pod uwagę Prezes Urzędu nakładając karę?

 

Status i kompetencje Prezesa UODO

Prezes UODO to niezależny organ, który stoi na straży gwarantowanych w Konstytucji RP oraz prawie UE praw podstawowych: prawa do ochrony danych osobowych i prawa do prywatności. Dba, by wykorzystywanie danych osobowych odbywało się zgodnie z zasadami przetwarzania danych. Zabiega też o właściwe rozwiązania prawne i podejmuje działania mające na celu podnoszenie świadomości w zakresie ochrony danych osobowych, w szczególności upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych, jak również upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o spoczywających na nich obowiązkach związanych z przetwarzaniem danych osobowych.

Prezes UODO monitoruje i egzekwuje przestrzeganie przepisów o ochronie danych osobowych oraz rozpatruje skargi wniesione przez osoby, których dane dotyczą.

Prezes UODO jest jedynym organem umocowanym prawnie do wydawania wytycznych i interpretowania postanowień ogólnego rozporządzenia o ochronie danych (RODO) i innych przepisów o ochronie danych osobowych.

 

Nie tylko kara pieniężna. Sankcje w razie naruszenia przepisów o ochronie danych osobowych

Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO.

Uprawnienia naprawcze Prezesa UODO są określone w art. 58 ust. 2 RODO. Na ich podstawie Prezes UODO może np.:

  • wydawać ostrzeżenia dotyczące możliwości naruszenia RODO,
  • udzielać upomnień w przypadku naruszenia RODO,
  • nakazać administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą,
  • wprowadzić czasowe lub całkowite ograniczenia przetwarzania, w tym zakazu przetwarzania
  • nałożyć, oprócz lub zamiast pozostałych środków naprawczych, administracyjną karę pieniężną

Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na możliwość zastosowania przez Prezesa UODO innych uprawnień, czy też sankcji.

 

Kara jest zawsze zindywidualizowana  

Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy.

Każda sytuacja jest badana przez organ nadzorczy indywidualnie. Prezes UODO, wydając decyzję w konkretnej sprawie, analizuje stan faktyczny i prawny na dzień jej wydania. Nawet w przypadku dwóch podobnych zdarzeń, w jednym może zostać nałożona administracyjna kara finansowa, a w drugim nie. Przesądzić bowiem o tym mogą specyficzne okoliczności związane z tymi sprawami.

Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników.

Istotne będą więc m.in.:

  • charakter, waga i czas trwania naruszenia;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
  • wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
  • stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”).

 

Wysokość kary

Prezes UODO bierze pod uwagę ww. czynniki zarówno wtedy, gdy decyduje o zasadności nałożenia administracyjnej karypieniężnej, jak i wtedy, gdy określa jej wysokość. Przepisy przewidują górne limity wysokości kar. Prezes UODO nakłada karę pieniężną za naruszenie w wysokości:

  • do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
  • do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
  • do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
  • do 10 000 złotych na państwowe i samorządowe instytucje kultury.

Równowartość wyrażonych w euro kwot administracyjnych kar pieniężnych oblicza się według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, kiedy obchodzony jest Dzień Ochrony Danych Osobowych.

Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa. Nie zasilają one  samego Urzędu.

Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego. Na wniosek podmiotu ukaranego Prezes UODO może odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty jeżeli przemawia za tym ważny interes wnioskodawcy.

 

Źródło:

https://uodo.gov.pl/pl/138/1244

więcej
< class="item_title"> Jaka jest podstawa przetwarzania danych członków rodziny pracownika korzystającego z ZFŚS?

Pracownicy, składając wniosek o uzyskanie świadczenia z ZFŚS i przedstawiając dane o swojej sytuacji życiowej, rodzinnej i materialnej,podają również dane członków swojej rodziny. Jaka jest podstawa prawna przetwarzania danych tych osób (dane małżonka, dzieci pracownika)Czy właściwą przesłanką jest zgoda?

Zgodnie z przepisami ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Artykuł 8 ust. 1 wspomnianej ustawy zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu. A zatem podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych oraz ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO w połączeniu z właściwym, wyżej wskazanym przepisem ustawy o zakładowym funduszu świadczeń socjalnych.

Pracodawca nie powinien zatem pozyskiwać zgody na przetwarzanie danych osobowych od członków rodziny pracownika, bowiem żeby przyznać pracownikowi świadczenie z zakładowego funduszu świadczeń socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi on wspólne gospodarstwo domowe. W celu realizacji tych potrzeb musi więc przetwarzać dane osobowe tych osób, ale tylko te dane, które są niezbędne dla realizacji celu, w jakim je pozyskał.

 

Źródło: https://uodo.gov.pl/pl/138/1360

06-08-2020

więcej
< class="item_title"> Jakie dane nauczyciela udostępnić komisji dyscyplinarnej w postępowaniu dyscyplinarnym?

W postępowaniu wyjaśniającym, a następnie dyscyplinarnym dotyczącym nauczyciela uprawnione podmioty mogą zbierać wszelkie dowody, które są konieczne dla wyjaśnienia sprawy. Jeśli jednak zwracają się one do administratora o udostępnienie określonych danych osobowych, to powinny swój wniosek starannie uzasadnić, a zadaniem administratora jest ustalenie, czy spełnione są przesłanki umożliwiające udostępnienie danych.

To ogólne zalecenie, które Prezes UODO sformułował w związku z wątpliwościami, czy komisja dyscyplinarna badająca sprawę zachowania nauczyciela może żądać od dyrektora szkoły udostępnienia takich dokumentów dotyczących konkretnego ucznia, jak: orzeczenie o potrzebie kształcenia specjalnego, wielospecjalistyczna ocena poziomu funkcjonowania, indywidualny program edukacyjno-terapeutyczny, które zawierają dane osobowe dziecka należące do kategorii szczególnych.

Organ nadzoru wskazał, że zgodnie z art. 85g ustawy z dnia 26 stycznia 1982 r. Karta Nauczyciela, w postępowaniu wyjaśniającym dowody są przeprowadzane przez rzecznika dyscyplinarnego, a w postępowaniu dyscyplinarnym – przez komisję dyscyplinarną. Nie wyłącza to prawa do zgłoszenia wniosku dowodowego przez nauczyciela, którego dotyczy postępowanie wyjaśniające, lub obwinionego (ust. 1). W postępowaniu wyjaśniającym i postępowaniu dyscyplinarnym rzecznik dyscyplinarny lub komisja dyscyplinarna mogą przesłuchiwać świadków, zbierać i przeprowadzać wszelkie dowody konieczne dla wyjaśnienia sprawy, w tym zasięgać opinii biegłych, oraz przeglądać akta osobowe odpowiednio nauczyciela, którego dotyczy postępowanie wyjaśniające, lub obwinionego, a także sporządzać z nich notatki i kopie (ust. 2). Zgodnie natomiast z § 23 ust. 7 rozporządzenia Ministra Edukacji Narodowej z dnia 25 maja 2016 r. w sprawie szczegółowego trybu prowadzenia postępowania wyjaśniającego i dyscyplinarnego wobec nauczycieli oraz wznawiania postępowania dyscyplinarnego, do zamknięcia rozprawy rzecznik dyscyplinarny, obwiniony i jego obrońca mogą zgłaszać wnioski o dopuszczenie nowych dowodów, w tym powołanie biegłych.

Rozstrzygając kwestię dopuszczalności przetwarzania, w tym udostępniania, danych osobowych na potrzeby postępowania wyjaśniającego lub dyscyplinarnego, pod uwagę brać należy również przepisy RODO. Zgodnie z nimi (art. 5), administrator zobowiązany jest przetwarzać dane osobowe zgodnie z prawem, zapewnić im poufność, a w razie ewentualnej kontroli organu nadzorczego – rozliczalność. Przetwarzanie, w tym również udostępnianie danych osobowych, może się zaś odbywać jedynie po spełnieniu jednego z warunków określonych w art. 6 RODO, a w przypadku szczególnych kategorii danych osobowych – po spełnieniu przesłanek określonych w art. 9 RODO.

Każdy wniosek o udostępnienie danych wymaga indywidualnej analizy. Rozpatrujący go administrator musi wziąć pod uwagę: obowiązujące przepisy prawa, rodzaj danych osobowych, cel oraz uzasadnienie potrzeby posiadania danych przez podmiot, który występuje o ich udostępnienie, w tym wskazanie przez niego podstawy prawnej żądania. W przypadkach, gdy uzasadnienie prawne lub faktyczne wniosku budzi wątpliwości, celowe jest uzyskanie od wnioskującego wyjaśnień lub dodatkowych informacji. Każdy wniosek powinien bowiem zawierać niebudzącą wątpliwości podstawę prawną.

Jak wskazano wyżej, w postępowaniu wyjaśniającym, a następnie dyscyplinarnym nauczyciela uprawnione podmioty mogą zbierać wszelkie dowody, pod warunkiem że będą one konieczne dla wyjaśnienia sprawy. Zadaniem administratora będzie odpowiednia analiza składanych przez te podmioty wniosków. W przypadku wskazania w nich podstawy prawnej, która nie spełnia warunków określonych w art. 6 lub art. 9 RODO albo w razie całkowitego jej braku, administrator powinien odmówić realizacji wniosku, aby nie narazić się na naruszenie wymienionych wyżej zasad, tj. przetwarzania danych zgodnie z prawem, zapewnienia ich poufności i rozliczalności.

 

Źródło: Newsletter UODO dla Inspektorów Ochrony Danych (10/2021)

 

14-10-2021

 

więcej
< class="item_title"> Jakie dane nauczycieli szkoła może przekazać organowi prowadzącemu?

W przepisach prawa oświatowego zostały ściśle określone dane osobowe nauczycieli, które szkoła może przekazać organowi prowadzącemu.

Zgodnie z art. 110 ust. 2 ustawy Prawo oświatowe dyrektor zobowiązany jest opracować arkusz organizacyjny szkoły, który przekazuje organowi prowadzącemu do zatwierdzenia. Natomiast rozporządzenie MEN w sprawie szczegółowej organizacji publicznych szkół i publicznych przedszkoli określa dane, jakie taki arkusz musi zawierać:

     § 17 Arkusz organizacji szkoły określa:

1) liczbę nauczycieli ogółem, w tym nauczycieli zajmujących stanowiska kierownicze;

2) imię, nazwisko, stopień awansu zawodowego i kwalifikacje poszczególnych nauczycieli oraz rodzaj prowadzonych przez nich zajęć, w tym liczbę godzin tych zajęć; (…).

 

W związku z tym organ prowadzący szkołę ma dostęp do takich danych osobowych jak: imię i nazwisko nauczyciela, jego stopień awansu zawodowego, kwalifikacje oraz rodzaj prowadzonych przez niego zajęć.

Do przekazania tych danych administrator danych nie potrzebuje zgody nauczyciela. Obowiązek przekazania wynika wprost z ustawy i przepisów wydanych na jej podstawie.

 

Podstawy prawne:

Art. 110 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2018 r. poz. 996 z późn. zm.).

§ 17 ust. 2 rozporządzenia Ministra Edukacji Narodowej z dnia 17 marca 2017 r. w sprawie szczegółowej organizacji publicznych szkół i publicznych przedszkoli (Dz. U. z 2017 r. poz. 649 z późn. zm.).

 

Beata Linowska

26-02-2019

więcej
< class="item_title"> Jest już podręcznik dla IOD!

Na stronach UODO udostępniono polską wersję językową podręcznika dedykowanego inspektorom ochrony danych osobowych. Nie jest to materiał dedykowany ściśle inspektorom działającym tylko w obszarze oświaty, ale niewątpliwie zawiera konkretne wytyczne i wskazówki, które mają ułatwić wykonywanie prze nich zadań.

Podręcznik to zbiór wytycznych dla IOD dotyczących sposobu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO).

 

UWAGA!

Udostępniony poradnik nie może być traktowany jako oficjalne stanowisko organu nadzorczego (PUDOD), to jednak zawarta w nim wiedza może stanowić pomoc w pełnieniu funkcji inspektora.

 

Co znajdziemy w podręczniku:

  • omówienie historii regulacji europejskich w zakresie ochrony danych osobowych oraz obecnie obowiązujących przepisów w tym zakresie;
  • podstawowe definicje związane z ochroną danych osobowych;
  • przegląd najważniejszych przepisów RODO;
  • praktyczne wskazówki w zakresie realizacji zadań IODO.

 

Podręcznik w formacje PDF dostępny na stronie PUODO: https://uodo.gov.pl/pl/168/1298

 

Dariusz Skrzyński

09-01-2020

 

 

więcej
< class="item_title"> Kiedy można umieścić zdjęcie ucznia na stronie www szkoły?

Przepisy prawa oświatowego dokładnie określają, jakie dane osobowe ucznia może pozyskiwać i przetwarzać szkoła. Nie ma wśród nich wizerunku ucznia. Dlatego zgodnie z zapisami art. 6 ust 1 lit a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych (…) administrator danych zobowiązany jest do uzyskania zgody rodzica (opiekuna prawnego) lub pełnoletniego ucznia do przetwarzania wizerunku ucznia.

Samo rozpowszechnianie zdjęć, a zatem umieszczanie ich na stronie internetowej szkoły, podlega przepisom ustawy o prawie autorskim i prawach pokrewnych (art. 81), który uzależnia możliwość rozpowszechniania zdjęć od:

  1. zgody osoby na nim przedstawionej (w przypadku niepełnoletniego ucznia – jego rodziców (opiekunów prawnych)).
  2. tego czyj wizerunek widnieje na zdjęciu, bowiem można rozpowszechniać wizerunek osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych
  3. przedstawienia osób na zdjęciu - zezwolenia nie wymaga rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.

Reasumując, do zamieszczania zdjęć ucznia na stronie internetowej szkoły, konieczne jest uzyskanie zgody rodziców (opiekunów prawnych) ucznia bądź też pełnoletniego ucznia, chyba, że prezentowany wizerunek stanowi jedynie szczegół zdjęcia.

Należy także pamiętać o uzyskaniu takich zgód na przetwarzanie wizerunku uczniów biorących udział w konkurach międzyszkolnych i przedstawieniu odpowiednich klauzul informacyjnych.

 

Podstawy prawne:

Art. 81. ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2018 r. poz. 1191 z późn. zm.).

Art. 6. ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

Więcej w e-szkoleniu "RODO w codziennej pracy nauczyciela - cz. III"

 

Beata Linowska

26-02-2019

więcej
< class="item_title"> Kilka porad jak w czasie wakacji zadbać o swoje dane osobowe

Dowód osobisty pozostawiony w zastaw za wypożyczony sprzęt rekreacyjny. Zgubiony portfel z dokumentami. To najczęstsze sytuacje podczas wakacji, gdy narażamy się na to, że nasze dane wpadną w niepowołane ręce i mogą zostać wykorzystane np. do zaciągnięcia na nas pożyczki. Zadbaj o bezpieczeństwo swoich danych osobowych, aby tegoroczny urlop nie przysporzył niepotrzebnych problemów.

Rower wodny, kajak czy łódka wypożyczone tylko na godzinę. Chwila przyjemności, relaksu, a dowód osobisty jest przecież bezpieczny – w szufladzie firmy wypożyczającej sprzęt wodny. Bez pozostawienia dokumentu w zastaw nie moglibyśmy przecież w pełni skorzystać z oferowanych atrakcji. Tyle że godzina to wystarczająco długo, by ktoś (niekoniecznie pracownik firmy) wyjął dokument z szuflady, zrobił jego kopię i …  zaczynają się problemy.

Ktoś, kto pozyska nasze dane, może dzięki nim zaciągnąć pożyczkę, zrobić zakupy przez internet. Mogą też one posłużyć do zawarcia umów np. z operatorem telefonii komórkowej, wypożyczenia drogiego sprzętu i następnie jego kradzieży.

 

Nie zostawiaj dowodu w zastaw

Urząd Ochrony Danych Osobowych przypomina, że nikt zgodnie z prawem nie może od nas wymagać, byśmy zostawili dokument tożsamości (np. dowód osobisty, paszport, prawo jazdy) w zastaw np. za wypożyczany sprzęt. Dokumenty są wydawane w celach ściśle określonych przepisami prawa i zawierają wskazany w nich katalog danych osobowych, który jest szerszy niż ten, jaki można uznać za niezbędny dla realizacji określonego celu.

Pamiętajmy też, że dokumentami mogą posługiwać się tylko te osoby, którym zostały one wydane. Prawo zabrania zatrzymywania dokumentów potwierdzających tożsamość, jak i przetwarzania danych w nich zawartych. Uprawnione do tego są jedynie instytucje wskazane w aktach prawnych regulujących funkcjonowanie określonych podmiotów bądź sektorów. Dlatego np. ustawa o dowodach osobistych określa, że za zatrzymywanie bez podstawy prawnej naszego dowodu osobistego grozi kara ograniczenia wolności albo kara grzywny.

Z kolei paszport, nie jest nawet naszą własnością, ale Rzeczypospolitej Polskiej. Został on nam wydany jedynie w celu przekraczania granicy i pobytu za granicą oraz poświadczania obywatelstwa polskiego, a także tożsamości. Nie można więc nim dowolnie dysponować w innych celach niż te, dla których został wydany.

Zatrzymywanie tych, jak i innych dokumentów potwierdzających tożsamość prowadzi nie tylko do naruszenia krajowych przepisów, ale także zasad zawartych w ogólnym rozporządzeniu ochronie danych (RODO). Chodzi o zasady: zgodności z prawem, ograniczenia celu oraz adekwatności (art. 5 RODO).

 

Nie pozwól robić ksera

Niektórzy usługodawcy przy wypożyczaniu sprzętu rekreacyjnego, np. łódek czy kajaków, nie chcą w zastaw dokumentu, ale jego kserokopię. Tego również nie wolno im robić. W dalszym ciągu taka praktyka naraża nas na te same niebezpieczeństwa. Dlatego nie gódźmy się na to, nawet gdy przedsiębiorca tłumaczy, że to jest wymagane do dochodzenia ewentualnych roszczeń, np. za zniszczony czy nieoddany sprzęt. Do tego wystarczające powinno być spisanie z dokumentu informacji, które będą pomocne przy dochodzeniu ewentualnych roszczeń np. imienia i nazwiska czy numeru PESEL Nieuzasadnione jest jednak przetwarzanie wszystkich danych widniejących np. w dowodach osobistych. Innym rozwiązaniem jest też wpłacenie kaucji za wypożyczony sprzęt.

Jeżeli przedsiębiorca postanowił spisać twoje dane z dowodu osobistego, to domagaj się, by po tym jak zwrócisz wypożyczony sprzęt, usunął je albo zwrócił ci formularz lub notatkę,  którychj je zapisał.

Z podobnymi żądaniami o pozostawienie dokumentu albo pozwolenie na jego skopiowanie możemy się spotkać choćby w hotelowej recepcji. Nie wolno tego robić. Pracownik recepcji może jedynie poprosić nas o przedstawienie dokumentu w celu ustalenia naszej tożsamości. To oznacza, że recepcjonista ma prawo wglądu do naszego dowodu osobistego, ale nie do jego kopiowania czy zatrzymywania.

 

Nie trać kontroli nad danymi

Okazji, by podczas wakacji pozyskać od nas nie tylko pieniądze, ale i dane osobowe jest więcej. Przykładem mogą być koncerty czy festiwale, których organizatorzy proponują nam bilet w atrakcyjnej cenie lub za darmo, gdy np. wypełnimy dodatkowy formularz i wyrazimy zgody na przetwarzanie danych, jakie w nim udostępniamy. Niestety, w ten sposób zaczynamy tracić kontrolę nad tym komu i w jakim celu udostępniliśmy nasze dane. A problem staje się jeszcze większy, gdy każdy z tych podmiotów udostępnił nasze dane swoim partnerom do celów marketingowych, na co przecież wyraziliśmy zgodę. Często więc po wakacjach zastanawiamy się skąd kolejna firma ma nasz numer telefonu? Nie doczytaliśmy lub nie pamiętamy, że sami je przekazaliśmy oraz wszelkie możliwe zgody.

Bywa i tak, że nieuczciwe podmioty przekazują nasze dane kolejnym firmom – już bez naszej zgody. I po kilku miesiącach firm dysponujących naszymi danymi jest znacznie więcej, co komplikuje możliwość dochodzenia swoich praw i kierowania żądań o usunięcie naszych danych.

 

Uważaj na ogłoszenia

Przykładem innej sytuacji, gdy w okresie wakacyjnym jesteśmy narażeni na utratę danych jest poszukiwanie pracy tymczasowej, np. przy zbiorze owoców lub w gastronomii. Niestety, wśród prawdziwych ogłoszeń są i takie, których celem jest pozyskanie jak najdokładniejszych informacji na nasz temat. Warto więc bardzo dokładnie analizować takie treści i szczególną ostrożność zachować, gdy potencjalny pracodawca chce, byśmy oprócz podstawowych danych na swój temat i wskazania danych do kontaktu, podali także np. numer PESEL i udostępnili skany naszych dokumentów tożsamości, co nie jest niezbędne w procesie rekrutacji.

Naszą czujność powinno wzbudzić także takie ogłoszenie, w którym podany jest link kierujący do dodatkowego  formularza w internecie. Należy też uważać, gdy potencjalny pracodawca, który nie jest nam znany, wysłała nam taki formularz w załączniku, który może być zainfekowany złośliwym oprogramowaniem.

Pamiętajmy, że do celów rekrutacyjnych pracodawca uprawniony jest do pozyskiwania tylko takich danych jak: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia.

 

Źródło:

https://uodo.gov.pl/pl/138/1073

 

25-06-2019

więcej
< class="item_title"> Konkurs na dyrektora szkoły - kto jest administratorem danych osobowych?

Administratorem danych osobowych kandydatów na stanowisko dyrektora szkoły lub placówki jest organ prowadzący szkołę lub placówkę, który na podstawie art. 63 ust. 14 Prawa oświatowego powołuje komisję konkursową.

UODO otrzymał prośbę o rozstrzygnięcie wątpliwości dotyczących statusu komisji konkursowej powoływanej przez organ prowadzący do przeprowadzenia konkursu na stanowisko dyrektora szkoły podstawowej. W myśl art. 63 ust. 14 ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe, w celu przeprowadzenia konkursu organ prowadzący szkołę lub placówkę powołuje komisję konkursową w składzie:

  • po trzech przedstawicieli organu prowadzącego szkołę lub placówkę i organu sprawującego nadzór pedagogiczny,

  • po dwóch przedstawicieli rady pedagogicznej i rady rodziców,

  • po jednym przedstawicielu organizacji związkowych reprezentatywnych w rozumieniu ustawy o Radzie Dialogu Społecznego, wyłonionym spośród członków ich jednostek organizacyjnych albo jednostek organizacyjnych organizacji związkowych wchodzących w skład reprezentatywnych organizacji związkowych, zrzeszających nauczycieli, obejmujących swoim zakresem działania szkołę lub placówkę, w której konkurs się odbywa.

Z kolei zasady pracy komisji definiuje rozporządzenie Ministra Edukacji Narodowej z 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej. IOD, biorąc te regulacje pod uwagę, prosił o wskazanie podmiotu będącego administratorem danych osobowych kandydatów na stanowisko dyrektora i wyjaśnienie kwestii nadawania członkom komisji konkursowej upoważnień do przetwarzania danych osobowych kandydatów ubiegających się w konkursie o stanowisko dyrektora szkoły. W odpowiedzi Urząd wskazał, że to organ prowadzący szkołę lub placówkę, który na podstawie art. 63 ust. 14 Prawa oświatowego powołuje komisję konkursową, jest administratorem danych osobowych kandydatów na stanowisko dyrektora szkoły lub placówki. Wobec tego to również organ prowadzący jest zobowiązany do zastosowania środków zapewniających bezpieczeństwo przetwarzania danych osobowych. Jeśli organ ten przyjął, że nadawanie upoważnień jest jednym ze stosowanych u niego środków organizacyjnych mających na celu zapewnienie odpowiedniej ochrony danych i kontroli nad procesem przetwarzania danych, wówczas środek taki powinien dotyczyć nie tylko osób na stałe zatrudnionych u administratora, ale także osób, którym administrator zlecił określone prace i które z tego powodu mają mieć dostęp do danych osobowych – w tym przypadku członkom komisji konkursowej. 

 

Źródło: „Biuletynu UODO” (nr 7-8/07-08/2023)

 

07-08-2023

 

więcej
< class="item_title"> Konkurs na stanowisko dyrektora a dowód osobisty

Czy uczestnicząc w konkursie na stanowisko dyrektora publicznej szkoły muszę dołączać kopię dowodu osobistego?

 

Nie, nie ma takiego obowiązku prawnego.

 

Wystarczające będzie oświadczenie zawierające następujące dane osobowe kandydata:

  • imię (imiona) i nazwisko,
  • data i miejsce urodzenia,
  • obywatelstwo,
  • miejsce zamieszkania (adres do korespondencji).

Dopiero przed przystąpieniem do rozmowy z kandydatem dopuszczonym do postępowania konkursowego komisja konkursowa ma prawo żądać przedstawienia dowodu osobistego lub innego dokumentu potwierdzającego jego tożsamość oraz posiadane obywatelstwo.

Zarówno aktualna (z 1.09.2019), jak i pierwotna (z 25.08.2017) wersja rozporządzenia Ministra Edukacji Narodowej w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie zawiera w § 1 ust. 2 pkt 4 wymogu dołączania kopii dokumentu tożsamości.

 

Źródło: https://twitter.com/UODOgov_pl/status/1362703480247488512/photo/1

 

20-02-2021

więcej
< class="item_title"> Kto jest administratorem danych stażysty skierowanego przez PUP?

Jako IOD często mierzę się z koniecznością dokonania oceny, komu przysługuje status administratora. Przykładem takiej sytuacji jest udostępnianie danych osobowych stażystów na podstawie umów zawieranych z Powiatowymi Urzędami Pracy. Wątpliwości dotyczą określenia, czy np. żłobek jest administratorem danych osobowych stażysty skierowanego przez PUP na staż, czy też jest  - wobec tych danych – jedynie podmiotem przetwarzającym?

Żłobek jest administratorem danych osobowych stażysty w zakresie danych przetwarzanych w ramach umowy zawartej z Powiatowym Urzędem Pracy. Dodatkowo żłobek może przetwarzać dane osobowe stażysty wykraczające poza zakres tych, które były udostępnione na podstawie umowy z PUP, a są niezbędne do prawidłowego odbycia stażu. Przykładem może być pozyskiwanie danych stażysty w celu realizacji obowiązku związanego ze sprawdzeniem stażysty na podstawie przepisów ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym. W tym zakresie żłobek również jest administratorem.

 

Źródło:

https://uodo.gov.pl/pl/225/1129

więcej
< class="item_title"> Laptop dla ucznia - odpowiedzialność za obowiązki związane z ochroną danych osobowych

Przy realizacji programu „Laptop dla ucznia” status administratora danych przysługuje organowi prowadzącemu szkołę.

Kto – w związku z realizacją programu „Laptop dla ucznia”, w tym zawieraniem umowy użyczenia komputera przenośnego typu laptop rodzicowi ucznia klasy objętej wsparciem – jest administratorem danych i tym samym ma obowiązek spełnienia obowiązku informacyjnego wynikającego z RODO? Z takimi pytaniami w ostatnim czasie zwracali się do UODO inspektorzy  ochrony danych.

W odpowiedzi organ nadzorczy wskazywał, że zgodnie z art. 7 ust. 3 ustawy z dnia 7 lipca 2023 r. o wsparciu rozwoju kompetencji cyfrowych uczniów i nauczycieli przekazanie laptopa uczniowi klasy objętej wsparciem, następuje na podstawie umowy zawartej przez organ prowadzący szkołę z rodzicem ucznia.

Stosownie do art. 7 ust. 5 organ prowadzący szkołę sporządza protokół z przekazania laptopa. Wzór umowy użyczenia komputera przenośnego typu laptop został określony w załączniku do rozporządzenia Ministra Cyfryzacji z dnia 8 września 2023 r. w sprawie określenia wzoru umowy użyczenia komputera przenośnego typu laptop rodzicowi ucznia klasy objętej wsparciem. Ze wzoru tej umowy (w tym § 1 pkt 4) wynika, że to organ prowadzący szkołę jest stroną umowy (reprezentowaną przez upoważnioną osobę z danej szkoły, zazwyczaj jej dyrektora) i użycza nowy, nieużytkowany i sprawny technicznie komputer przenośny typu laptop (§ 2 ust. 1 wzoru umowy) oraz odpowiada za obowiązki związane z ochroną danych osobowych dziecka i rodzica. Wśród tych obowiązków wskazane jest wypełnienie wobec biorącego w użyczenie obowiązku informacyjnego przewidzianego w art. 13 RODO (§ 5 ust. 2 wzoru umowy).

W związku z powyższym to organowi prowadzącemu szkołę, a nie szkole, należy przyznać status administratora w rozumieniu art. 4 pkt 7 RODO.

Źródło: „Biuletynu UODO” (nr 10/10/2023).

 

26-10-2023

 

więcej
< class="item_title"> Monitoring w szkole - jakie obowiązki ciążą na administratorze?

Monitoring wizyjny w szkole może funkcjonować na podstawie i zgodnie z zapisami art. 108a ustawy Prawo oświatowe (UPO) – gdy jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia. Ten sam artykuł określa także pewne obowiązki ciążące na administratorze w związku z funkcjonowaniem monitoringu, te obowiązki wskazuje także rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych (…) (RODO).

 

Administrator stosujący na swoim terenie monitoring powinien:

  1. poinformować osoby, które mogą zostać nim objęte, że taki monitoring jest stosowany i jaki teren obejmuje – należy zastosować tablice informacyjne – trwałe, zawierające informacje zgodnie z zapisami art. 13 RODO, ale na takich tablicach informacyjnych mogą się znaleźć tylko podstawowe informacje jak kto jest administratorem danych, a pełna klauzula informacyjna, obejmująca wszystkie wymogi art. 13 RODO, powinna być dostępna w obiekcie monitorowanym, np. w sekretariacie szkoły czy na tablicy informacyjnej. Sam piktogram informujący o tym, że są kamery nie jest wystarczającym i pełnym środkiem informacyjnym;
  2. niezwłocznie udzielać odpowiedzi na pytania osoby, która objęta została monitoringiem w ramach przysługujących jej uprawnień - zgodnie z art. 12 - 22 RODO (cele przetwarzania, informacje o odbiorcach lub kategoriach odbiorców, nazwie podmiotu odpowiedzialnego za instalację, sprostowanie danych, usunięcie danych, ograniczenie przetwarzania, przenoszenie danych, sprzeciw);
  3. przed dopuszczeniem osoby do wykonywania obowiązków służbowych poinformować ją na piśmie o stosowaniu monitoringu – art. 108a ust. 7 UPO;
  4. zastosować odpowiednie środki techniczne i organizacyjne w celu ochrony przechowywanych nagrań obrazu oraz danych osobowych uczniów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, uzyskanych w wyniku monitoringu (takimi środkami są np.: zabezpieczenia fizyczne (zabezpieczenie pomieszczenia, w którym znajdują się rejestratory kamer CCTV, informatyczne), organizacja dostępu do zapisanych danych, regulamin monitoringu) – w uzgodnieniu z organem prowadzącym – art. 108a ust. 9 UPO;
  5. przetwarzać dane zebrane w wyniku stosowania monitoringu, wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nie dłuższy niż 3 miesiące od dnia nagrania – po tym okresie nagrania należy zniszczyć – chyba, że przepisy odrębne stanowią inaczej – art. 108a ust. 4 i 5 UPO.

 

Opracowane na podstawie:

      Art. 108a ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2018 r. poz. 996 z późn. zm).

      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
      w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
      95/46/WE (ogólne rozporządzenie o ochronie danych)

 

Więcej informacji w publikacji: "Monitoring w szkole"

 

Beata Linowska

26-02-2019

więcej
< class="item_title"> Nieuprawnione kontaktowanie się przedstawicieli szkoły z lekarzem badającym ucznia

Pracownik placówki dydaktycznej nie jest uprawniony do omawiania stanu zdrowia ucznia odbywającego praktyczną naukę zawodu z lekarzem prowadzącym badanie. 

Z prośbą o wyjaśnienia wątpliwości w tym zakresie zwróciła się do UODO matka pewnego ucznia technikum, który odbywał praktyczną naukę zawodu. Szczegółowo opisała sytuację, w której dyrektorem tej szkoły bez zgody rodziców kontaktował się z lekarzem medycyny pracy przeprowadzające badanie ucznia. Matka spytała UODO, czy jakiekolwiek osoby postronne, w tym dyrektor szkoły, mają prawo kontaktować się z lekarzem, dyskutować o zdrowiu pacjenta lub też przekazywać pisemnie opinię bez zawiadomienia rodziców o ich wydaniu.

W odpowiedzi organ nadzorczy wskazał, że przetwarzanie danych osobowych uczniów, którzy narażeni są na działanie szkodliwych czynników, uciążliwych lub niebezpiecznych dla zdrowia regulują przepisy rozporządzenia ministra zdrowia z dnia 26 sierpnia 2019 r. w sprawie badań lekarskich kandydatów do szkół ponadpodstawowych lub wyższych i na kwalifikacyjne kursy zawodowe, uczniów i słuchaczy tych szkół, studentów, słuchaczy kwalifikacyjnych kursów zawodowych oraz doktorantów, wydanego na podstawie delegacji zawartych w art. 6 ust. 5 ustawy z dnia 27 czerwca 1997 r. o służbie medycyny pracy. Zgodnie z par. 3 ust. 1 tego rozporządzenia lekarz przeprowadza badanie lekarskie na podstawie skierowania wydanego przez placówkę dydaktyczną. Z kolei zaświadczenie lekarskie wydawane jest w dwóch egzemplarzach, z których jeden pozostaje w dokumentacji lekarskiej, natomiast drugi przekazywany jest osobie badanej (posiadające pełną zdolność do czynności prawnej lub przedstawicielowi ustawowemu, gdy jej nie posiada) w celu przekazania placówce dydaktycznej kierującej na badanie.

Zarówno uczniowi, jak i placówce dydaktycznej przysługuje wnoszone na piśmie odwołanie od orzeczenia o istnieniu lub braku przeciwwskazań zdrowotnych do wykonywania zawodu i odbywania praktycznej nauki zawodu. Z przepisów rozporządzenia nie płyną jednak prerogatywy upoważniające pracownika placówki dydaktycznej do omawiania stanu zdrowia ucznia z lekarzem prowadzącym badanie lekarskie. Informacje związane z udzielonym świadczeniem zdrowotnym zaliczane są do szczególnych kategorii danych Osobowych o których mowa w artykule dziewięć RODO, których przetwarzanie jest co do zasady zabronione. Chcąc przetwarzać dane o stanie zdrowia należy wykazać jedną z przesłanek określonych w art. 9 ust. 2 RODO dopuszczających przetwarzanie tej kategorii danych. Wśród nich wymienić można między innymi: wyrażenie przez osobę, której dane dotyczą, wyraźnej zgody na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach; zaistnienie sytuacji, w której przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidujący mi odpowiednie zabezpieczenie praw podstawowych i interesów osoby, której dane dotyczą; przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie nie zdolna do wyrażenia zgody. Przesłanki te odwołuję się dodatkowo do odpowiednich gwarancji, co oznacza, że przetwarzanie szczególnych kategorii danych osobowych jest dopuszczalne wyłącznie w ściśle określonych okolicznościach. 

 

Źródło: „Biuletynu UODO” (nr 9/09/2023)

 

25-09-2023

więcej
< class="item_title"> Numer PESEL w decyzjach administracyjnych?

Dyrektor w swojej pracy obok decyzji kierowniczych wdaje też decyzje administracyjne. Dotyczą one:

1) skreślenia ucznia z listy uczniów;

2) wcześniejszego przyjęcia dziecka do szkoły;

3) odroczenia obowiązku szkolnego dziecka zamieszkałego w obwodzie szkoły;

4) zezwolenia na spełnianie obowiązku szkolnego lub nauki poza szkołą;

5) odmowy udzielenia zezwolenia na realizację indywidualnego programu lub toku nauki przez ucznia;

5) nadania lub odmowy nadania stopnia nauczyciela kontraktowego;

6) odmowy udostępnienia informacji publicznej, umorzenia postępowania.

Obowiązkowe oznaczanie stron

Organy administracji publicznej, które rozstrzygają indywidualne sprawy, wydając decyzje administracyjne, muszą postępować zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (k.p.a.). Jej art. 107 § 1 pkt 3 wskazuje, że jednym z obligatoryjnych składników decyzji administracyjnej jest oznaczenie strony lub stron postępowania. Oznacza to, że dla prawidłowości postępowania prowadzonego przez właściwy organ administracji publicznej niezbędne jest zindywidualizowanie wszystkich stron postępowania poprzez wskazanie ich danych osobowych.

W tym celu wystarczające jest wskazanie imienia, nazwiska i adresu zamieszkania.

§ 1. Decyzja zawiera:

1) oznaczenie organu administracji publicznej;
2) datę wydania;
3) oznaczenie strony lub stron;
4) powołanie podstawy prawnej;
5) rozstrzygnięcie;
6) uzasadnienie faktyczne i prawne;
7) pouczenie, czy i w jakim trybie służy od niej odwołanie oraz o prawie do zrzeczenia się odwołania i skutkach zrzeczenia się odwołania;
8) podpis z podaniem imienia i nazwiska oraz stanowiska służbowego pracownika organu upoważnionego do wydania decyzji, a jeżeli decyzja wydana została w formie dokumentu elektronicznego – kwalifikowany podpis elektroniczny;
9) w przypadku decyzji, w stosunku do której może być wniesione powództwo do sądu powszechnego, sprzeciw od decyzji lub skarga do sądu administracyjnego – pouczenie o dopuszczalności wniesienia powództwa, sprzeciwu od decyzji lub skargi oraz wysokości opłaty od powództwa lub wpisu od skargi lub sprzeciwu od decyzji, jeżeli mają one charakter stały, albo podstawie do wyliczenia opłaty lub wpisu o charakterze stosunkowym, a także możliwości ubiegania się przez stronę o zwolnienie od kosztów albo przyznanie prawa pomocy. 

§ 2. Przepisy szczególne mogą określać także inne składniki, które powinna zawierać decyzja.

Reguły określone RODO

Wykorzystywanie na te potrzeby numeru PESEL jest działaniem niezgodnym z zasadami określonymi w ogólnym rozporządzeniu o ochronie danych (RODO).

Numer PESEL to bowiem krajowy numer identyfikacyjny, który powinien podlegać szczególnej ochronie (art. 87 RODO). Jego używanie na potrzeby oznaczenia strony postępowania administracyjnego jest nadmiarowe i niezgodne z zasadą minimalizacji danych wyrażoną w art. 5 ust. 1 lit. c 1 RODO.

 

Wyjątkiem postępowanie egzekucyjne

Jeśli podanie numeru PESEL wynika wprost z przepisów prawa, to wówczas spełniona jest przesłanka legalizująca jego przetwarzanie określona w art. 6 ust. 1 lit. c RODO (przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze). Tak jest w przypadku zamieszczania numeru PESEL w tytule wykonawczym w przypadku prowadzenia przez organ administracji postępowania egzekucyjnego. Stanowi o tym art. 27 § 1 pkt 2 ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji. Zatem dopiero na etapie prowadzonego postępowania egzekucyjnego uzasadnione jest wskazanie numeru PESEL strony postępowania.

 

Praktyka zamieszczania numeru PESEL w decyzji administracyjnej, jako danej identyfikującej stronę postępowania, jest niewłaściwa.

 

Na podstawie:

https://uodo.gov.pl/pl/138/561

 

26-06-2019

więcej
< class="item_title"> O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Jednakże pamiętać trzeba, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym, wnioski z przeprowadzonej analizy należy udokumentować w wewnętrznej ewidencji naruszeń.

Ryzyko naruszenia praw i wolności osób fizycznych jest obecne, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np.:

  • dyskryminacja,
  • kradzież tożsamości lub oszustwo dotyczące tożsamości,
  • nadużycia finansowe,
  • straty finansowe,
  • nieuprawnione cofnięcie pseudonimizacji,
  • utrata poufności danych osobowych chronionych tajemnicą zawodową,
  • naruszenie dobrego imienia
  • inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

 

Źródło:

https://uodo.gov.pl/pl/134/232

więcej
< class="item_title"> Obserwacja ucznia podczas zajęć na wniosek rodziców a zgoda pozostałych uczniów

Czy potrzebna zgoda pozostałych uczniów, jeżeli obserwacji podczas zajęć zostaje poddany jeden z uczniów na wniosek rodziców?

 

Nie. Jeżeli przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, nie trzeba uzyskiwać zgody rodziców na takie działanie. Takim obowiązkiem będzie w tym wypadku konieczność współpracy z poradnią psychologiczno – pedagogiczną. Obowiązek ten wynika natomiast z § 4 ust. 3 pkt 2 rozporządzenia w sprawie zasad organizacji i udzielania pomocy psychologiczno-pedagogicznej w publicznych przedszkolach, szkołach i placówkach. Stosownie do tej regulacji pomoc psychologiczno-pedagogiczna jest organizowana i udzielana we współpracy z poradniami psychologiczno-pedagogicznymi, w tym poradniami specjalistycznymi. Dyrektor jest zatem obowiązany do nawiązania współpracy z poradnią. Dane innych uczniów niż poddany obserwacji uczeń nie powinny być przetwarzane w związku z opisanymi w pytaniu czynnościami poradni, zatem jest to dodatkowa przesłanka, do tego że nie ma podstaw do wyrażania zgody przez innych rodziców.

 

Podstawa prawna:

 

Dariusz Skrzyński

więcej
< class="item_title"> Ochrona danych osobowych w oświacie w czasie epidemii

Teraz, gdy ogromna część nauczycieli pracuje zdalnie, bardzo ważne jest zapewnienie bezpieczeństwa takiej pracy. Dyrektorzy i pracownicy muszą odpowiednio chronić wszelkie dane, w tym także te obejmujące dane osobowe.

 

Czy warto przyjąć regulamin edukacji zdalnej?

Tak. Organizowanie edukacji online należy zacząć od dobrze przygotowanego regulaminu takiej pracy, który będzie zgody z RODO. To dyrektor decyduje, jakie konkretnie środki bezpieczeństwa przetwarzania danych wdrożyć, aby zapewnić poziom ochrony adekwatny do istniejącego ryzyka. Dyrektor powinien skorzystać ze wsparcia inspektora ochrony danych.  Jednym z takich środków bezpieczeństwa w okresie zawieszenia funkcjonowania jednostek oświaty może być regulamin edukacji zdalnej, który reguluje kwestie ochrony danych osobowych uczniów.

 

Przykładowe zapisy w regulaminie – informacje podstawowe

 

  1. Niniejszy regulamin określa zasady i warunki i kształcenia na odległość dla Uczniów i Nauczycieli w Szkole …………….., zwana dalej Szkołą.
  2. Administratorem danych przetwarzanych w ramach edukacji zdalnej jest Szkoła. Zakres przetwarzanych danych osobowych w tej sytuacji to: imię, nazwisko, login użytkownika oraz nazwa Szkoły, (uzupełnić)
  3. Administratorem danych przetwarzanych w narzędziach, systemach, aplikacjach służących do kształcenia na odległość jest dostawca danego rozwiązania. Należy dokładnie zapoznać się z regulaminami i Politykami prywatności dostawców usług i rozwiązań służących do zdalnego nauczania, z których korzystają uczniowie i nauczyciele.
  4.  Szkoła zapewnia narzędzia umożliwiające nauczycielom prowadzenie zajęć zdalnych oraz bezpieczną komunikację z uczniami i rodzicami, wdrażając je kompleksowo w całej placówce.
  5.  Nauczyciel musi pamiętać o bezpiecznym korzystaniu z komputerów i innych urządzeń zarówno wtedy, gdy zapewnił mu je pracodawca, jak i wtedy, gdy korzysta z własnych.
  6.  Nauczyciel może przetwarzać dane osobowe uczniów i ich rodziców tylko w celach związanych z wykonywaniem swoich obowiązków służbowych. 

 

Przykładowe zapisy w regulaminie – zasady do prowadzenia lekcji online

  1. W lekcji mogą brać jedynie uczniowie z danej klasy, zidentyfikowani, podpisani imieniem i nazwiskiem. Nie mogą w niej uczestniczyć osoby postronne.
  2. Właścicielem i prowadzącym lekcje jest nauczyciel i tylko on ma prawo do wyciszania uczestników i prezentowania swojego ekranu. 
  3. W systemie nauczyciel może jedynie publikować ogólne materiały edukacyjne, bez ujawniania jakichkolwiek danych osobowych uczniów lub rodziców. Linki do lekcji nie powinny być publikowane na stronie lub fanpage Szkoły.
  4. Hasła do konta nie mogą być przekazywane osobom trzecim. Powinny być trudne do złamania, ale łatwe do zapamiętania.
  5. Kamera powinna pokazywać tylko to, co faktycznie może być pokazane w trakcie lekcji. Dotyczy to także dzielenia ekranu. 

 

Czy należy przekazać dodatkową klauzulę informacyjną?

Tak. Szkoła powinna poinformować rodziców, pełnoletnich uczniów o tym, jakie dane w ramach nauczania zdalnego i w jaki sposób będą przetwarzane.

W ramach tego obowiązku szkoła powinna:

  • poinformować nauczycieli, rodziców oraz uczniów o sposobie realizacji nauki zdalnej. Informacja ta powinna zostać przekazana w prosty sposób, tak aby była zrozumiała dla wszystkich, do których skierowany jest komunikat.
  • jeżeli w celu realizacji nauki zdalnej będzie korzystać z nowych narzędzi lub usług świadczonych przez podmioty zewnętrzne - poinformować o tym, jak w tym zakresie będą przetwarzane dane osobowe.
  • zapewnić narzędzia umożliwiające nauczycielom prowadzenie zajęć zdalnych oraz bezpieczną komunikację z uczniami i rodzicami, wdrażając je kompleksowo w całej placówce.
  • unikać gromadzenia danych nadmiarowych lub służących do realizacji innych celów niż realizacja zdalnego nauczania (dotyczy to m.in. zakładania konta rodzica/ucznia w systemie zdalnego nauczania),
  • przeprowadzić analizę ryzyka dotyczącą procesów przetwarzania danych,
  • zastosować odpowiednie środki bezpieczeństwa np. pseudonimizacja czy szyfrowanie danych,
  • upewnić się, czy dostawca dziennika elektronicznego zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wskazane w RODO i chroniło prawa podmiotów danych. 

 

Na stronie internetowej UODO udostępnił poradniki dla szkół:

Dobre praktyki pomagające zachować bezpieczeństwo danych podczas lekcji online

Dane osobowe bezpieczne podczas zdalnego nauczania

 

 

Przykładowa klauzula informacyjna dla rodziców uczniów w związku z nauczaniem zdalnym

(Informacja uzupełniająca podstawową klauzulę informacyjną w zakresie nauczania zdalnego, tzn. wskazujemy tylko te informacje, które nie zostały wcześniej rodzicom przekazane. Możliwe jest jednak dopisanie tego fragmentu do podstawowej klauzuli, przekazanej wcześniej rodzicom lub udostępnione na stronie www placówki/e-dzienniku.)

Administrator danych_______ w czasie ograniczenia funkcjonowania szkół i placówek oświatowych związanego z zagrożeniem epidemiologicznym realizuje nauczanie na odległość tj. z wykorzystaniem metod i technik kształcenia na odległość albo w inny sposób ustalony, w uzgodnieniu z organem prowadzącym.

Administrator w zdalnym prowadzeniu zajęć wykorzystuje *:

  1. platformy edukacyjne, 
  2. narzędzia do e-learningu, 
  3. komunikatory discord, 
  4. skype, 
  5. e-dziennik. 

Administrator wykorzystuje jedynie dane ucznia niezbędne do założenia przez niego konta w odpowiednim systemie zdalnego nauczania oraz w celu realizacji obowiązku nauki w formie zdalnej (na podstawie art. 35 ustawy – Prawa oświatowego w związku z art. 6 ust. 1 lit. e RODO).

Posiadają Państwo prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu.

Podanie danych osobowych jest wymogiem ustawowym i jest obowiązkowe ze względu na przepisy prawa oświatowego.

Rodzicom/uczniom przysługuje prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych.

Dane kontaktowe Inspektora Ochrony Danych w...................., do którego może Pani/Pan zwracać się z pytaniami i wątpliwościami dotyczącymi nauczania zdalnego w zakresie przetwarzania danych ucznia/rodzica, to.................... 

* Dostosować zgodnie z potrzebami.

 

Czy dopuszczalne jest nagrywanie zdalnych lekcji w celu upowszechniania na stronie szkoły?

Nie. Do zadań nauczycieli nie należy prezentowanie innym nauczycielom przyjętych metod nauczania dotyczących prowadzenia zdalnej lekcji. A zatem należy uzyskać zgodę nauczyciela na utrwalanie lekcji oraz na późniejsze jej rozpowszechnianie na stronie internetowej szkoły (art. 6 ust. 1 lit. a RODO, art. 81 ust. 1 ustawy z 4.02.1994 r. o prawie autorskim i prawach pokrewnych, Dz.U. z 2019 r. poz. 1231 ze zm.).

 

Czy nauczyciel ma obowiązek kontrolować temperaturę ciała uczniów, pracowników?

Nie. Żaden przepis nie nakłada na nauczyciela takiego obowiązku. Nie ma też przepisu, który uprawniłaby do tego nauczyciela. Do obowiązków nauczyciela nie należy badanie temperatury ciała uczniów, czy innych współpracowników. Zatem nauczyciel musiałby wyrazić zgodę na takie działanie, które ponadto może zostać podjęte jedynie w sytuacji dopuszczonej prawem. Przykładowo byłoby to możliwe, jeżeli służby sanitarne uznałby to za zasadne w danej szkole (nałożyły na szkołę taki obowiązek).

Prezes UDODO wydał interpretacje w tej sprawie: Sprawdzanie temperatury w celu zapobiegania rozprzestrzeniania się COVID 19

 

Kiedy szkoła może prowadzić kontrolę temperatury ciała uczniów?

Są dwie sytuacje. Po pierwsze, kiedy szkoła dysponuje zgodą rodziców ucznia (zarówno zdrowych, jak i niepełnosprawnych lub z przewlekłą chorobą). A po drugie wyjątkowo za zgodą nauczyciela mógłby on zbadać temperaturę ciała danego ucznia, znajdującego się w sytuacji zagrożenia życia lub zdrowia, z uwagi na potrzebę ochrony żywotnych interesów ucznia i najlepiej także na polecenie personelu medycznego (np. dyspozytora pogotowia), gdy jednocześnie w danej sytuacji niemożliwe jest uzyskanie zgody rodzica na takie działanie np. z powodu braku kontaktu z nim, co można pośrednio wywodzić z uprawnienia do przetwarzania w takim przypadku danych osobowych dotyczących zdrowia (art.  9 ust. 2 lit. c RODO).

 

Dariusz Skrzyński

20-05-2020

więcej
< class="item_title"> PPK: czy adres e-mail i numer telefonu można przekazać wybranej instytucji finansowej?

Prezes UODO informuje, że pracodawca w związku z obowiązkiem zawarcia umowy o prowadzenie Pracowniczych Planów Kapitałowych z wybraną instytucją finansową, musi jej przekazać numer telefonu i adres e-mail pracownika - jeżeli dysponuje tymi danymi. 

Pracodawca ma obowiązek prawny do pozyskania danych osobowych uczestnika PPK takich jak adres poczty elektronicznej oraz numer telefonu i przekazania tych danych do wybranej instytucji finansowej. Takie dane stanowią załącznik do umowy o prowadzenie Pracowniczych Planów Kapitałowych i zgodnie z ustawą są uznane za dane identyfikujące uczestnika PPK.

Zgodnie z art. 221 § 4 kodeksu pracy pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3 (jak m.in. imię, nazwisko, adres zamieszkania czy numer PESEL), gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Takim obowiązkiem w przypadku ustawy o Pracowniczych Planach Kapitałowych, jest pozyskanie przez pracodawcę danych pracownika potrzebnych do zawarcia umowy z wybraną instytucją finansową. W tej sytuacji ważny jest cel przetwarzania danych pracownika. Należy podkreślić, że pracodawca musi przetwarzać takie dane jedynie w celu ich przekazania do wybranej instytucji finansowej.

Brak zgody pracownika na przetwarzanie jego danych nie będzie sprzeczny z zasadami przetwarzania danych zawartymi w RODO. Przepisy rozporządzenia ogólnego uprawiają bowiem administratora do przetwarzania danych osobowych, gdy jest to niezbędne do wypełniania ciążącego na nim obowiązku prawnego (art. 6 ust. 1 lit. c RODO).

Pamiętać przy tym należy, że takich danych jak adres poczty elektronicznej i numer telefonu pracownik nie musi posiadać. W polskim systemie prawnym nie istnieje, żaden przepis, który zobowiązywałby osobę fizyczną do posiadania takich środków komunikacji. Dysponowanie adresem poczty elektronicznej i telefonem jest i powinno pozostać dobrowolne. Dlatego należy pozostawić obywatelowi wybór podawania takich danych.  

Ustawodawca wprowadził więc dodatkowe możliwości informowania uczestników PPK poprzez zapewnienie im dostępu do systemu teleinformatycznego instytucji finansowej, a w przypadku, gdy będzie to niemożliwe, przekazywanie takiej informacji na wniosek uczestnika PPK w postaci papierowej.

Biorąc pod uwagę powyższe, pracodawca ma obowiązek prawny przekazania danych osobowych m.in. w postaci adresu poczty elektronicznej i numeru telefonu od pracownika bez wyrażenia jego zgody do wybranej instytucji finansowej, o ile pracownik takie dane mu udostępni.

 

Jeśli chcą Państwo zgłębić informacje na temat PPK, zapraszamy na szkolenia: Pracownicze Plany Kapitałowe w jednostkach oświatowych.

 

Źródło:

https://uodo.gov.pl/pl/138/1251

 

więcej

ECRK s.c.
ul. Elektryczna 1/3 lok. 216
15-080, Białystok
Oddział Warszawa:
ul. Kabacki Dukt 18/7
 
Telefony

logo