Ochrona danych osobowych

1 Ochrona danych osobowych ...
Author: Czesław Stefański
0 downloads 2 Views

1 Ochrona danych osobowych

2

3 Podstawy prawne dotyczące ochrony danych osobowych„Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.” Podstawowe pojęcia Praktyczne aspekty wdrażania przepisów o ochronie danych osobowych Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. Przydatne informacje

4 Lekcja 1 Temat: Kradzież tożsamości.

5 § Podstawy prawne dotyczące ochrony danych osobowychUstawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji.

6 Generalny Inspektor Ochrony Danych Osobowych (GIODO)Organ ochrony danych osobowych Generalny Inspektor Ochrony Danych Osobowych (GIODO) Biuro Generalnego Inspektora Ochrony Danych Osobowych ul. Stawki 2, Warszawa

7 Podstawy prawne dotyczące ochrony danych osobowychw szkole …. Regulacje wewnętrzne: Polityka Bezpieczeństwa Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych

8 Podstawowe pojęcia Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

9 Podstawowe pojęcia DANE OSOBOWE dane tzw. „zwykłe”dane wrażliwe/sensytywne

10 dane zwykłe NIP nazwiska i imiona seria i numer dowodu osobistegoimiona rodziców miejsce pracy numer rachunku bankowego dane zwykłe zawód adres zamieszkania lub pobytu data urodzenia wykształcenie numer telefonu numer ewidencyjny PESEL miejsce urodzenia adres IP komputera

11 dane wrażliwe/sensytywneWażne! pochodzenie etniczne pochodzenie rasowe przekonania filozoficzne przekonania religijne kod genetyczny stan zdrowia mandaty karne orzeczenia o ukaraniu dane wrażliwe/sensytywne ujawniają przynależność wyznaniową nałogi życie seksualne przynależność partyjną przynależność związkową orzeczenia wydane w postępowaniu sądowym lub administracyjnym poglądy polityczne

12 w zbiorach tradycyjnychGdzie znajdują się w szkole dane osobowe? w zbiorach tradycyjnych arkusze ocen orzeczenia o potrzebie kształcenia specjalnego oraz opinie księga uczniów, absolwentów, wypadków rejestr wydanych legitymacji, kart rowerowych i motorowerowych dzienniki teczki wychowawców dokumenty związane z rekrutacją akta osobowe wykazy (np. osób korzystających z dofinansowania obiadów) podania o przyjęcie (do szkoły, świetlicy, na obiady itp.) zbiory ewidencyjne wszelkie zgody (np. na uczestnictwo w zajęciach z religii, programach ogólnopolskich czy ogólnoszkolnych typu „Szklanka mleka”, „Owoce w szkole” i innych

13 Gdzie znajdują się w szkole dane osobowe?w dokumentacji związanej z przetwarzaniem danych wrażliwych dokumentacja dotycząca programów dofinansowania do zakupu podręczników szkolnych (np. „Wyprawka Szkolna”) programy socjalne (np. stypendia szkolne, stypendia specjalne, pomoc finansowa zapomogi, pożyczki wewnątrzzakładowe itp.); w dokumentacji kadrowo-płacowej deklaracje ZUS ewidencje płacowe informacje skarbowe ewidencje statystyczne prowadzone przez dyrektora, pracowników działu kadr oraz księgowych

14 w systemach informatycznychGdzie znajdują się w szkole dane osobowe? w systemach informatycznych plany organizacyjne systemy ewidencji uczniów typu EdPlan, VULCAN systemy informatyczne prowadzone przez jednostki nadzoru pedagogicznego (np. ewidencja związana z testami szóstoklasisty, egzaminami gimnazjalnymi, maturami, egzaminami zawodowymi itp.) systemy informatyczne prowadzone przez organy prowadzące (np. ewidencja w celu ustalania dotacji), System Informacji Oświatowej inne, w zależności od lokalnych rozwiązań informatycznych listach motywacyjnych i podaniach o przyjęcie do pracy, w tym osób niepracujących w danej szkole

15 Zbiory osobowe klienci uczniowie pracownicyZbiór danych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. klienci uczniowie pracownicy rekrutacja dziennik wycieczki pomoc pp-p ……………………. kadry płace ZUS SIO ……………………. najem sal faktury przelewy księgowość …………………….

16 Podstawowe pojęcia Zgoda osoby, której dane dotyczą to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Zabezpieczenie danych w systemie informatycznym wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

17 Podstawowe pojęcia Przetwarzanie danych w systemie informatycznym operacje wykonywane na danych osobowych przy użyciu współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

18 nauczyciel wychowawcapracownik sekretariatu

19 Powierzenie przetwarzania danychPodstawowe pojęcia Usuwanie danych zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Legalność Informacja Staranność Zabezpieczenia Dokumentacja Zgłoszenia zbiorów do GIODO Powierzenie przetwarzania danych

20 Dobre praktyki zamykać na klucz pomieszczenia,nie pozostawiać w pomieszczeniach osób nie mających uprawnień do danych, nie dopuszczać osób nie mających uprawnień do treści danych, dokumenty niszczyć w specjalistycznych niszczarkach, dane przechowywać wyłącznie pod zamknięciem, nośniki zewnętrzne oraz maile zabezpieczyć ochroną kryptograficzną, tworzyć silne hasła (m.in. 8 znaków), zmieniać co 30 dni, wykonywać kopie bezpieczeństwa, stosować zasilacze awaryjne, prowadzić dokumentację przetwarzania danych, w tym czynności udostępnień, incydentów, serwisów oprogramowania.

21 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychPolityka bezpieczeństwa dokument wewnętrzny regulujący i opisujący zasady przetwarzania danych osobowych w organizacji pozarządowej. Zawiera: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. …………………….

22 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychPolityka bezpieczeństwa jest dokumentem wewnętrznym, obowiązującym i stosowanym w konkretnej organizacji. Ze względu na rodzaj i charakter informacji zawartych w tym dokumencie nie powinna być: publikowana na stronie WWW organizacji, udostępniana w jakiejkolwiek innej formie w Internecie – bo opisuje „ścieżkę dostępu” do organizacji i ujawnia jej techniczne i organizacyjne zabezpieczenia.

23 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychElementy Instrukcji Zarządzania Systemem Informatycznych: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; ………………………………………

24 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychElementy Instrukcji Zarządzania Systemem Informatycznym: sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych; sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; sposób realizacji wymogów informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia; procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

25 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychInstrukcja Zarządzania Systemem Informatycznym wprowadza poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony, wysoki.

26 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychAdministrator Danych (AD) – to organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. AD prowadzi dokumentację. Do zadań AD należy zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Administrator Bezpieczeństwa Informacji (ABI) – to osoba nadzorująca przestrzeganie zasad ochrony. ABI jest wyznaczany przez AD (chyba że AD sam wykonuje te czynności).

27 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychW przypadku przetwarzania danych osobowych w systemie informatycznym konieczne jest powołanie Administratora Systemu Informatycznego (ASI) – osoby nadzorującej przestrzeganie zasad ochrony w związku z przetwarzaniem danych w systemie informatycznym.

28 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychObowiązek informacyjny Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do uzyskania informacji: czy taki zbiór istnieje kto jest administratorem danych celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze od kiedy przetwarza się w zbiorze dane o źródle, z którego pochodzą dane jej dotyczące o sposobie udostępniania danych.

29 Praktyczne aspekty wdrażania przepisów o ochronie danych osobowychObowiązek informacyjny wobec osób, których dane pozyskane zostały z innego źródła. Konieczne jest poinformowanie osoby, której dane dotyczą, o: źródle danych; prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację; prawie wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, gdy AD zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu AD.

30 Świadomość pracowników szkołyCzy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych? Świadomość pracowników szkoły i uczniów Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje wyłączenie z rejestracji.

31 Uczniowie należy wskazywać uczniom zagrożenia związane z rozwojem internetowych portali społecznościowych uczniowie, często nieświadomi niebezpieczeństw, udostępniają w internecie zbyt wiele informacji o sobie, stając się łatwym celem dla osób gotowych wykorzystać ich nadmierną ufność uświadomienie uczniom, że niektóre zachowania – ich zdaniem dowcipne – stanowią zagrożenie dla innych osób, a nawet są sklasyfikowane jako przestępstwo (np. stalking – uporczywe, złośliwe nękanie, mogące wywołać poczucie zagrożenia – art. 190a Kodeksu karnego) 79% dzieci z Polski przyznało, że miało negatywne doświadczenia podczas korzystania z internetu jedynie 39% rodziców kontroluje korzystanie przez dzieci z Internetu

32 Pytania…. Odpowiedzi…. Uzasadnienie (źródło: giodo.gov.pl)

33 Czy prowadzony w postaci papierowej rejestr przychodzących i wychodzących pism jest zbiorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych i czy podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych? Tak, gdyż jest to zbiór danych w rozumieniu ustawy o ochronie danych osobowych i podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

34 Czy biblioteki prowadzone przez szkoły podlegają obowiązkowi zgłoszenia zbiorów do rejestracji Generalnego Inspektora Ochrony Danych Osobowych? Jeżeli biblioteki prowadzone przez szkoły przetwarzają wyłącznie dane osób uczących się w nich, zatrudnionych w tych szkołach lub świadczących im usługi na podstawie umów cywilnoprawnych, to zwolnione są one z obowiązku zgłoszenia do rejestracji przedmiotowego zbioru danych.

35 Czy dyrektor przedszkola ma obowiązek zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych zbiory danych rodziców przedszkolaków? Nie, gdyż ustawa o ochronie danych osobowych zwalnia administratorów danych takich zbiorów z obowiązku ich rejestracji. Udostępnienie przez dyrektora adresów zamieszkania członków rady rodziców. Według GIODO, udostępnienie tych danych wnika w sferę życia prywatnego członków rady. Rada rodziców powinna określić zasady kontaktowania się z nią w regulaminie rady rodziców.

36 Czy wójt/burmistrz ma prawo żądać udostępnienia mu akt osobowych pracowników szkoły?W ocenie GIODO działanie to nie znajduje uzasadnienia w powszechnie obowiązujących przepisach prawa Żądanie podania szczegółowych danych osobowych rodziców na pierwszej stronie dzienniczka ucznia. GIODO uznał, że przepisy nie wskazują, jakie dane powinien zawierać dzienniczek ucznia, wobec czego żądanie podania szczegółowych danych osobowych rodziców nie jest zgodne z prawem.

37 Dopuszczalność publikowania na stronach internetowych npDopuszczalność publikowania na stronach internetowych np. wizerunku uczniów, ocen uzyskiwanych przez uczniów, osiągnięć sportowych. W ocenie GIODO, działanie takie wymaga spełnienia przez szkołę co najmniej jednej przesłanki dopuszczającej opublikowanie danych, tj. zgoda rodziców (opiekunów prawnych) lub pełnoletnich uczniów, lub istnienie przepisu prawa dopuszczającego taką formę przetwarzania danych. W innym przypadku opublikowanie danych będzie niezgodne z prawem. ………………………………..

38 Udostępnianie danych osobowych absolwentówWyrok NSA Warszawa, I OSK 667/09 z r. „Wizerunek umieszczony na zdjęciu klasowym wykonanym przed trzydziestoma laty wraz opatrzeniem go imieniem i nazwiskiem, a następnie zamieszczonym na stronie internetowej stanowi dane osobowe w rozumieniu art. 6 ust. 2 ustawy o ochronie danych osobowych” Szkoła, która chciałaby dokonać publikacji takiego zdjęcia z podpisami na swojej stronie internetowej musi uzyskać na to zgodę osób znajdujących się na zdjęciu.

39 Czy pozwalanie, by uczeń odniósł dziennik do pokoju nauczycielskiego, jest łamaniem prawa?Przekazywanie dziennika lekcyjnego osobie nieuprawnionej, czyli uczniowi, ale także rodzicowi czy sprzątaczce, jest sprzeczne z przepisami dotyczącymi ochrony danych osobowych. Należy mieć świadomość, że w chwili obecnej uczeń może „zeskanować" telefonem komórkowym całość dziennika wraz ze wszystkimi uwagami, po czym natychmiast przekazać je dalej.

40 Zbieranie informacji o miejscu pracy i stanowisku zajmowanym przez rodzica.GIODO uznaje, że zbieranie informacji np. o miejscu pracy oraz stanowisku zajmowanym przez rodzica (w celu szybkiego kontaktu z rodzicami dziecka) nie wynika wprost z przepisów prawa. Nie ma zatem obowiązku podawania przez rodzica informacji o miejscu i stanowisku pracy, a przetwarzanie tych informacji jest dopuszczalne tylko wówczas, gdy osoba, której dotyczą, wyrazi na to zgodę.

41 Instalowanie kamer wizyjnych w szkołach.W ocenie GIODO praktykę uznać należy za zgodną z przepisami o ochronie danych osobowych, pozwalającą na szybszą reakcję w przypadku np. używania siły w kontaktach między uczniami; jako podstawę przetwarzania wskazuje się zapewnienie bezpieczeństwa publicznego Sprawdzanie w domu zeszytów z pracami uczniów. Sprawdzanie w domu zeszytów z pracami uczniów może spowodować ujawnienie danych osobowych uczniów.

42 Czy publikowanie na ogólnej dostępnej stronie internetowej szkoły takich danych jak imiona i nazwiska uczniów przydzielonych do grup zdających egzamin klasyfikacyjny jest zgodne z przepisami ustawy o ochronie danych osobowych? Tak, publikowanie na ogólnie dostępnej stronie internetowej szkoły imion i nazwisk uczniów przydzielonych do grup zdających egzamin klasyfikacyjny może się odbywać wyłącznie pod warunkiem, że rodzice lub opiekunowie prawni uczniów, których dotyczą dane, wyrażą na to pisemną zgodę.

43 Czy dyrektor szkoły może przetwarzać posiadane przez szkołę dane osobowe na potrzeby złożenia pozwu do sądu dla nieletnich? Tak, bowiem takie uprawnienie wynika z przepisów prawa, zwłaszcza z Ustawy z dnia 26 października 1982r. o postępowaniu w sprawach nieletnich. Czy szkoły mogą przetwarzać dane biometryczne – odciski palców? Nie ma przepisu, który zezwalałby szkołom na pozyskiwanie od uczniów i pracowników odcisków palców w celu zapewnienia kontroli osób wchodzących do budynku. Nie uzasadniają tego nawet względy bezpieczeństwa oraz wyrażenie zgody przez zainteresowane osoby.

44 W jakich sytuacjach szkoła może udostępnić dane osobowe ucznia takim instytucjom jak np. policja czy pomoc społeczna? podstawą uprawniającą policję do przetwarzania danych osobowych są m.in. przepisy ustawy z dnia 6 kwietnia 1990 r. o policji, określające sytuacje, w których policja może żądać pomocy od różnych instytucji oraz na czym ta pomoc ma polegać w ustawie z dnia 12 marca 2004 r. o pomocy społecznej, jest mowa o udzielaniu na wniosek pracownika socjalnego informacji mających znaczenie dla rozstrzygnięcia o przyznaniu i wysokości świadczeń pomocy społecznej nie należy przekazywać wszystkich danych ucznia, które są w posiadaniu szkoły, a tylko te, wynikające z konkretnych przepisów nie udzielamy informacji telefonicznie! zakres przekazywanych przez szkołę danych reguluje też np. ustawa z 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie oraz przepisy dotyczące programu wieloletniego "Pomoc państwa w zakresie dożywiania"

45 Czy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych? Sankcje karne nieprzestrzegania przepisów ustawy o ochronie danych osobowych Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje wyłączenie z rejestracji.

46 Sankcje karne Art Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

47 Sankcje karne Art. 50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

48 Sankcje karne Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

49 Sankcje karne Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

50 Wyniki kontroli GIODO w szkołachCzy zbiory danych zawierające podania o pracę powinny zostać zarejestrowane u Generalnego Inspektora Ochrony Danych Osobowych? Wyniki kontroli GIODO w szkołach Nie, gdyż dla tego rodzaju zbiorów ustawa o ochronie danych osobowych przewiduje wyłączenie z rejestracji.

51 Wyniki kontroli GIODO w szkołachKontrole przeprowadzono w szkołach podstawowych, gimnazjach i liceach ogólnokształcących. Zakresem kontroli objęto przetwarzanie danych uczniów, nauczycieli i pozostałych pracowników szkół. Najczęściej występowały nieprawidłowości w procesie przetwarzania danych przy użyciu systemów informatycznych.

52 Wyniki kontroli GIODO w szkołachNie opracowano dokumentacji przetwarzania danych. Dokumentację zawierającą dane osobowe przechowywano w sposób umożliwiający dostęp osobom nieuprawnionym. W kilku szkołach nie zostały opracowane pisemne procedury dotyczące przekazywania do archiwum oraz wypożyczania z archiwum dokumentacji zawierającej dane osobowe uczniów, nauczycieli i pozostałych pracowników szkoły.

53 Wyniki kontroli GIODO w szkołachW niektórych gimnazjach nie założono księgi arkuszy ocen. Dokumentacja przebiegu nauczania uczniów szkoły zlikwidowanej nie była przekazana kuratorowi oświaty w ustawowym terminie. Przechowywanie dokumentacji archiwalnej w innych pomieszczeniach niż archiwum zakładowe.

54 Wyniki kontroli GIODO w szkołachPrzechowywanie dokumentacji zawierającej dane osobowe dzieci, które nie zostały przyjęte do szkoły. Gromadzenie w aktach osobowych pracowników większego zakresu danych niż wynikający z kodeksu pracy. Skontrolowane szkoły realizują obowiązki wynikające z przepisów o ochronie danych osobowych na poziomie niezadawalającym.

55 Ochrona danych osobowych

56