Ochrona danych osobowych w oświacie. Poradnik dla administratorów oraz inspektorów ochrony danych
Celem poradnika jest pomoc we wdrożeniu i utrzymaniu spójnych procedur gwarantujących przetwarzanie danych osobowych w placówkach oświatowych, zgodne z przepisami prawa. Poradnik omawia obowiązki szkół i placówek oświatowych wynikające z RODO oraz wskazuje liczne przykłady i odwołania do przepisów branżowych.
Przybliżono w nim takie zagadnienia jak:
administrator, inspektor ochrony danych oraz podmiot przetwarzający i odbiorca danych osobowych w jednostkach oświatowych;
prawa osób, których dane dotyczą, upoważnienie do przetwarzania danych osobowych i oświadczenie o zachowaniu poufności;
polityka bezpieczeństwa informacji;
rejestr czynności i kategorii czynności przetwarzania danych osobowych;
monitoring wizyjny w placówce oświatowej;
szacowanie ryzyka naruszenia praw i wolności osób w związku z przetwarzaniem danych osobowych w placówce oświatowej oraz stałe monitorowanie wdrożonych zabezpieczeń;
zarządzanie incydentami naruszenia ochrony danych osobowych;
przepływ danych między placówką oświatową a organem prowadzącym i organem sprawującym nadzór pedagogiczny.
Opracowanie zawiera wzory procedur, które administrator danych – dyrektor szkoły może wykorzystać w realizacji zadania zapewnienia bezpieczeństwa danych osobowych w swojej placówce.
Adresaci:Publikacja przeznaczona jest dla dyrektorów, inspektorów ochrony danych oraz pracowników szkół, przedszkoli i innych placówek oświatowych, odpowiedzialnych za stosowanie przepisów z zakresu ochrony danych osobowych. Zainteresuje także prawników praktyków i pracowników naukowych specjalizujących się ochronie danych osobowych.
- Kategorie:
- Język wydania: polski
- ISBN: 978-83-8223-070-3
- ISBN druku: 978-83-8187-874-6
- EAN: 9788382230703
- Liczba stron: 243
-
Sposób dostarczenia produktu elektronicznegoProdukty elektroniczne takie jak Ebooki czy Audiobooki są udostępniane online po opłaceniu zamówienia kartą lub przelewem na stronie Twoje konto > Biblioteka.Pliki można pobrać zazwyczaj w ciągu kilku-kilkunastu minut po uzyskaniu poprawnej autoryzacji płatności, choć w przypadku niektórych publikacji elektronicznych czas oczekiwania może być nieco dłuższy.Sprzedaż terytorialna towarów elektronicznych jest regulowana wyłącznie ograniczeniami terytorialnymi licencji konkretnych produktów.
-
Ważne informacje techniczneMinimalne wymagania sprzętowe:procesor: architektura x86 1GHz lub odpowiedniki w pozostałych architekturachPamięć operacyjna: 512MBMonitor i karta graficzna: zgodny ze standardem XGA, minimalna rozdzielczość 1024x768 16bitDysk twardy: dowolny obsługujący system operacyjny z minimalnie 100MB wolnego miejscaMysz lub inny manipulator + klawiaturaKarta sieciowa/modem: umożliwiająca dostęp do sieci Internet z prędkością 512kb/sMinimalne wymagania oprogramowania:System Operacyjny: System MS Windows 95 i wyżej, Linux z X.ORG, MacOS 9 lub wyżej, najnowsze systemy mobilne: Android, iPhone, SymbianOS, Windows MobilePrzeglądarka internetowa: Internet Explorer 7 lub wyżej, Opera 9 i wyżej, FireFox 2 i wyżej, Chrome 1.0 i wyżej, Safari 5Przeglądarka z obsługą ciasteczek i włączoną obsługą JavaScriptZalecany plugin Flash Player w wersji 10.0 lub wyżej.Informacja o formatach plików:
- PDF - format polecany do czytania na laptopach oraz komputerach stacjonarnych.
- EPUB - format pliku, który umożliwia czytanie książek elektronicznych na urządzeniach z mniejszymi ekranami (np. e-czytnik lub smartfon), dając możliwość dopasowania tekstu do wielkości urządzenia i preferencji użytkownika.
- MOBI - format zapisu firmy Mobipocket, który można pobrać na dowolne urządzenie elektroniczne (np.e-czytnik Kindle) z zainstalowanym programem (np. MobiPocket Reader) pozwalającym czytać pliki MOBI.
- Audiobooki w formacie MP3 - format pliku, przeznaczony do odsłuchu nagrań audio.
Rodzaje zabezpieczeń plików:- Watermark - (znak wodny) to zaszyfrowana informacja o użytkowniku, który zakupił produkt. Dzięki temu łatwo jest zidentyfikować użytkownika, który rozpowszechnił produkt w sposób niezgodny z prawem. Ten rodzaj zabezpieczenia jest zdecydowanie bardziej przyjazny dla użytkownika, ponieważ aby otworzyć książkę zabezpieczoną Watermarkiem nie jest potrzebne konto Adobe ID oraz autoryzacja urządzenia.
- Brak zabezpieczenia - część oferowanych w naszym sklepie plików nie posiada zabezpieczeń. Zazwyczaj tego typu pliki można pobierać ograniczoną ilość razy, określaną przez dostawcę publikacji elektronicznych. W przypadku zbyt dużej ilości pobrań plików na stronie WWW pojawia się stosowny komunikat.
Wykaz skrótów | str. 13 Przedmowa | str. 15 Wstęp | str. 17 Rozdział I Administrator, podmiot przetwarzający i odbiorca danych osobowych w jednostkach oświatowych | str. 21 1. Administrator | str. 21 2. Podmiot przetwarzający | str. 23 3. Inny administrator jako odbiorca danych | str. 23 Rozdział II Zasady przetwarzania danych osobowych | str. 25 1. Zasada zgodności z prawem, rzetelności i przejrzystości | str. 25 2. Zasada ograniczenia celu | str. 26 3. Zasada minimalizacji danych | str. 27 4. Zasada prawidłowości danych | str. 29 5. Zasada ograniczenia przechowywania | str. 30 6. Zasada integralności i poufności danych | str. 31 7. Zasada rozliczalności | str. 32 Rozdział III Podstawy przetwarzania danych osobowych | str. 33 1. Zgoda osoby, której dane dotyczą | str. 33 2. Umowa | str. 37 3. Wypełnianie obowiązku prawnego ciążącego na administratorze | str. 37 4. Przetwarzanie danych osobowych w celu wykonania zadania publicznego realizowanego w interesie publicznym lub w ramach władzy publicznej powierzonej administratorowi | str. 40 5. Realizacja celów wynikających z prawnie uzasadnionych interesów administratora | str. 41 6. Przetwarzanie danych osobowych szczególnych kategorii | str. 42 Rozdział IV Prawa osób, których dane dotyczą | str. 45 1. Prawo do informacji (art. 13 RODO) | str. 45 1.1. Administrator (art. 13 ust. 1 lit. a RODO) | str. 46 1.2. Inspektor ochrony danych (art. 13 ust. 1 lit. b RODO) | str. 46 1.3. Cel oraz podstawa prawna przetwarzania danych osobowych (art. 13 ust. 1 lit. c RODO) | str. 47 1.4. Odbiorcy danych (art. 13 ust. 1 lit. e RODO) | str. 47 1.5. Informacje o zamiarze przekazywania danych osobowych do państwa trzeciego (art. 13 ust. 1 lit. f RODO) | str. 49 1.6. Okres przetwarzania danych osobowych (art. 13 ust. 2 lit. a RODO) | str. 50 1.7. Prawa osób, których dane dotyczą (art. 13 ust. 2 lit. b RODO) | str. 51 1.8. Prawo do cofnięcia zgody (art. 13 ust. 2 lit. c RODO) | str. 52 1.9. Prawo do wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d RODO) | str. 52 1.10. Przetwarzanie jako wymóg ustawowy, umowny lub warunek zawarcia umowy | str. 53 1.11. Zautomatyzowane podejmowanie decyzji, w tym profilowanie (art. 13 ust. 2 lit. f RODO) | str. 53 2. Prawo do informacji (art. 13 RODO) w zamówieniach publicznych | str. 54 3. Prawo do informacji (art. 13 RODO) w postępowaniu administracyjnym | str. 55 4. Prawo do informacji (art. 14 RODO) | str. 56 5. Prawo do informacji (art. 14 RODO) w zamówieniach publicznych | str. 57 6. Prawo do informacji (art. 14 RODO) w postępowaniu administracyjnym | str. 57 7. Prawo dostępu do danych (art. 15 RODO) | str. 58 8. Prawo dostępu do danych w zamówieniach publicznych ... 59 9. Prawo dostępu do danych w postępowaniu administracyjnym | str. 60 10. Prawo do sprostowania danych (art. 16 RODO) | str. 61 11. Prawo do sprostowania danych osobowych w zamówieniach publicznych | str. 63 12. Prawo do usunięcia danych (art. 17 RODO) | str. 63 13. Prawo do ograniczenia przetwarzania (art. 18 RODO) | str. 65 14. Prawo do ograniczenia przetwarzania w zamówieniach publicznych | str. 66 15. Prawo do przenoszenia danych (art. 20 RODO) | str. 67 16. Prawo do sprzeciwu (art. 21 RODO) | str. 67 17. Prawo do sprzeciwu w zamówieniach publicznych | str. 68 18. Prawo do niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu (art. 22 RODO) | str. 68 Rozdział V Inspektor ochrony danych w jednostkach oświatowych | str. 70 1. Wyznaczenie inspektora ochrony danych | str. 70 2. Zadania i status inspektora ochrony danych | str. 72 Rozdział VI Polityka bezpieczeństwa informacji | str. 74 1. Podstawy prawne opracowania dokumentu | str. 74 2. Określenie użytych pojęć w polityce bezpieczeństwa | str. 75 3. Zakres polityki bezpieczeństwa informacji | str. 76 4. Zasady przetwarzania danych osobowych | str. 76 5. Nadawanie upoważnień i uprawnień do przetwarzania danych osobowych | str. 76 6. Udostępnianie i powierzanie danych osobowych | str. 78 7. Realizacja praw osób, których dane dotyczą | str. 79 8. Szkolenia z zakresu ochrony danych osobowych | str. 79 9. Postępowanie w sytuacji wystąpienia incydentu lub naruszenia danych osobowych | str. 80 10. Sprawdzenie zgodności przetwarzania danych osobowych z obowiązującymi przepisami | str. 81 11. Zakresy zadań i odpowiedzialności osób biorących udział w przetwarzaniu danych osobowych | str. 81 12. Procedury przetwarzania danych osobowych w systemie informatycznym | str. 82 Rozdział VII Rejestr czynności i kategorii czynności przetwarzania danych osobowych | str. 84 1. Rejestr czynności przetwarzania | str. 84 2. Rejestr wszystkich kategorii czynności przetwarzania | str. 91 Rozdział VIII Powierzenie przetwarzania danych osobowych | str. 93 1. Wybór podmiotu przetwarzającego (art. 28 ust. 1 RODO) | str. 94 2. Zgoda na przekazanie danych innemu podmiotowi przetwarzającemu (art. 28 ust. 2 RODO) | str. 94 3. Umowa powierzenia przetwarzania danych zgodnie z art. 28 ust. 3 RODO | str. 95 Rozdział IX Współadministrowanie danymi osobowymi | str. 103 Rozdział X Monitoring wizyjny | str. 109 1. Konsultacje | str. 110 2. Informowanie osób, których dane są przetwarzane | str. 114 Rozdział XI Upoważnienie do przetwarzania danych osobowych i oświadczenie o zachowaniu poufności | str. 116 1. Upoważnienie do przetwarzania danych szczególnej kategorii w kadrach | str. 117 2. Upoważnienie do przetwarzania danych o skazaniach w zamówieniach publicznych | str. 118 3. Upoważnienie do przetwarzania danych osobowych szczególnej kategorii w ramach zakładowego funduszu świadczeń socjalnych | str. 118 4. Oświadczenie o zachowaniu poufności | str. 118 Rozdział XII Podejście oparte na ryzyku | str. 120 1. Szacowanie ryzyka | str. 123 1.1. Kontekst | str. 124 1.2. Analiza ryzyka | str. 125 1.2.1. Zakres analizy | str. 126 1.2.2. Identyfikacja celów | str. 127 1.2.3. Identyfikacja zasobów | str. 127 1.2.4. Ocena zasobów – różnicowanie wartości | str. 128 1.2.5. Identyfikacja podatności zasobów | str. 129 1.2.6. Identyfikacja zagrożeń | str. 129 1.3. Analiza zagrożeń | str. 130 1.4. Propozycje zabezpieczeń | str. 130 1.5. Określanie poziomu ryzyka | str. 131 1.5.1. Prawdopodobieństwo wystąpienia zagrożenia | str. 131 1.5.2. Ocena skutków zagrożenia | str. 132 1.5.3. Obliczenie poziomu ryzyka dla zasobów | str. 133 1.5.4. Ryzyko operacyjne | str. 134 1.6. Plan postępowania z ryzykiem | str. 134 1.7. Postępowanie z ryzykiem nieakceptowalnym | str. 135 1.8. Akceptacja ryzyka | str. 135 2. Ocena skutków przetwarzania | str. 137 3. Prywatność domyślna i prywatność na etapie projektowania | str. 141 4. Zarządzanie incydentami | str. 141 Rozdział XIII Szacowanie ryzyka naruszenia praw i wolności osób w związku z przetwarzaniem danych osobowych w placówce oświatowej krok po kroku | str. 145 1. Kontekst | str. 146 2. Identyfikacja przetwarzań i zasobów | str. 146 3. Identyfikacja podatności i zagrożeń | str. 150 4. Analiza ryzyka | str. 152 5. Ocena ryzyka i opracowanie planu postępowania z ryzykiem | str. 159 6. Wdrożenie i monitorowanie planu postępowania z ryzykiem | str. 160 Rozdział XIV Szacowanie ryzyka – przykład zastosowania | str. 161 1. Kontekst | str. 161 2. Identyfikacja przetwarzań i zasobów | str. 163 3. Identyfikacja podatności i zagrożeń | str. 168 4. Analiza ryzyka | str. 187 5. Plan postępowania z ryzykiem | str. 194 Rozdział XV Ocena skutków dla ochrony danych | str. 195 1. Kontekst | str. 196 2. Dane, procesy, aktywa | str. 198 3. Podstawowe zasady | str. 201 4. Środki ochrony praw osób, których dane dotyczą | str. 203 5. Analiza ryzyka | str. 205 6. Opinia inspektora ochrony danych – podsumowanie | str. 206 Rozdział XVI Stałe monitorowanie wdrożonych zabezpieczeń | str. 208 Rozdział XVII Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych | str. 213 Rozdział XVIII Zarządzanie incydentami | str. 218 1. Kontekst | str. 218 2. Rejestr incydentów | str. 220 3. Postępowanie z incydentem | str. 220 4. Procedura zarządzania incydentami | str. 221 Rozdział XIX Naruszenia ochrony danych osobowych | str. 224 1. Rodzaj danych (RD) | str. 225 2. Skutki naruszenia (SN) | str. 226 3. Zakres danych (ZD) | str. 227 4. Sposób postępowania (SR) | str. 227 5. Ocena wagi naruszenia | str. 227 6. Zawiadomienie organu nadzorczego | str. 228 7. Zawiadomienie osób, których dane dotyczą | str. 228 8. Rejestr naruszeń | str. 230 Rozdział XX Przepływ danych między placówką oświatową a organem prowadzącym i organem sprawującym nadzór pedagogiczny | str. 233 1. Organizacja i finansowanie zadań dydaktyczno-wychowawczych (arkusz organizacyjny) | str. 233 2. Audyty i kontrole | str. 235 Wykaz aktów prawnych | str. 237 Bibliografia | str. 239 Wykaz tabel | str. 241 O Autorach | str. 243