{"id":1005,"date":"2013-10-30T15:11:11","date_gmt":"2013-10-30T14:11:11","guid":{"rendered":"http:\/\/blog.langlion.pl\/?p=1005"},"modified":"2016-02-15T12:22:12","modified_gmt":"2016-02-15T11:22:12","slug":"wpis-goscinny-jak-przygotowac-sie-do-kontroli-giodo-w-szkole-jezykowej","status":"publish","type":"post","link":"https:\/\/blog.langlion.com\/pl\/wpis-goscinny-jak-przygotowac-sie-do-kontroli-giodo-w-szkole-jezykowej\/","title":{"rendered":"Wpis go\u015bcinny &#8211; Jak przygotowa\u0107 si\u0119 do kontroli GIODO w szkole j\u0119zykowej?"},"content":{"rendered":"<p>Niniejszy artyku\u0142 rozpoczyna cykl go\u015bcinnych wpis\u00f3w na naszym blogu.<\/p>\n<p>Autorem pierwszego go\u015bcinnego posta \u00a0jest\u00a0<strong>Kancelaria Prawnicza Lex Artist\u00a0<\/strong>\u00a0(www: <a href=\"http:\/\/lex-artist.pl\">lex-artist.pl<\/a>, blog: <a href=\"http:\/\/blog-daneosobowe.pl\">blog-daneosobowe.pl<\/a>).<\/p>\n<blockquote style=\"font-size: 0.8em;\"><p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1026 alignleft\" alt=\"logo\" src=\"https:\/\/blog.langlion.com\/pl\/wp-content\/uploads\/2013\/10\/logo.png\" width=\"312\" height=\"76\" \/>Kancelaria Lex Artist specjalizuje si\u0119 kwestiach zwi\u0105zanych z ochron\u0105 danych osobowych. Od lat temat ten jest dla ka\u017cdej szko\u0142y do\u015b\u0107 dra\u017cliwy i\u00a0delikatny, a wiele szk\u00f3\u0142 nie wie nawet, jak rozpocz\u0105\u0107 wdra\u017canie prawid\u0142owych procedur. Wierzymy, \u017ce ten wpis odpowie na wiele pyta\u0144, a temat ochrony danych osobowych stanie si\u0119 dla Pa\u0144stwa mniej problematyczny.<\/p><\/blockquote>\n<p>Kontrola<i> <\/i>jest to \u201eog\u00f3\u0142 czynno\u015bci zmierzaj\u0105cych do por\u00f3wnania stanu faktycznego ze stanem postulowanym\u201d. W przypadku szk\u00f3\u0142 j\u0119zykowych, kontrola GIODO polega na zweryfikowaniu faktycznej dzia\u0142alno\u015bci plac\u00f3wki pod k\u0105tem realizacji przepis\u00f3w ustawy o ochronie danych osobowych (dalej: <i>uodo<\/i>).<i><\/i><\/p>\n<p><!--more--><\/p>\n<p>Oczywi\u015bcie kontrola GIODO mo\u017ce odby\u0107 si\u0119 tylko i wy\u0142\u0105cznie na mocy \u015bci\u015ble okre\u015blonych zasad. Podstaw\u0105 do przeprowadzania kontroli w szko\u0142ach j\u0119zykowych jest art. 12 pkt 1) <i>uodo<\/i>, stanowi\u0105cy, \u017ce \u201edo zada\u0144 Generalnego Inspektora w szczeg\u00f3lno\u015bci nale\u017cy: kontrola zgodno\u015bci przetwarzania danych z przepisami o ochronie danych osobowych\u201d. Inne artyku\u0142y ustawy zawieraj\u0105 szczeg\u00f3\u0142owy opis zasad przeprowadzania kontroli.<\/p>\n<p>Co do zasady, kontrole GIODO s\u0105 zapowiadane z co najmniej tygodniowym wyprzedzeniem, za pomoc\u0105 faksu, telefonu lub poczty. Nie jest to jednak obowi\u0105zek na\u0142o\u017cony przepisami prawa, a jedynie przyj\u0119ta i realizowana przez urz\u0105d z konsekwencj\u0105 praktyka.<\/p>\n<p>Kontrole przeprowadzane s\u0105 przewa\u017cnie przez dw\u00f3ch Inspektor\u00f3w &#8211; jednego prawnika oraz informatyka. Inspektorzy maj\u0105 prawo:<\/p>\n<ul>\n<li>wst\u0119pu, w godzinach od 06.00 do 22.00, za okazaniem imiennego upowa\u017cnienia i legitymacji s\u0142u\u017cbowej, do pomieszczenia, w kt\u00f3rym zlokalizowany jest zbi\u00f3r danych, oraz pomieszczenia, w kt\u00f3rym przetwarzane s\u0105 dane poza zbiorem i przeprowadzenia niezb\u0119dnych bada\u0144 i innych czynno\u015bci kontrolnych<\/li>\n<li>\u017c\u0105da\u0107 z\u0142o\u017cenia pisemnych lub ustnych wyja\u015bnie\u0144 oraz wzywa\u0107 i przes\u0142uchiwa\u0107 osoby w zakresie niezb\u0119dnym do ustalenia stanu faktycznego<\/li>\n<li>wgl\u0105du do wszelkich dokument\u00f3w oraz sporz\u0105dzania ich kopii<\/li>\n<li>przeprowadzania ogl\u0119dzin urz\u0105dze\u0144, no\u015bnik\u00f3w oraz system\u00f3w informatycznych s\u0142u\u017c\u0105cych do przetwarzania danych<\/li>\n<li>zleca\u0107 sporz\u0105dzanie ekspertyz i opinii<\/li>\n<\/ul>\n<p>Ka\u017cda czynno\u015b\u0107 dokonywana przez Inspektor\u00f3w powinna zosta\u0107 potwierdzona protoko\u0142em. Protoko\u0142y takie stanowi\u0105 za\u0142\u0105czniki do Zbiorczego Protoko\u0142u Kontroli kt\u00f3rego kopia powinna zosta\u0107 dostarczona kontrolowanemu. Mo\u017ce on wnosi\u0107 w tej materii zastrze\u017cenia i uwagi, ma te\u017c prawo do odmowy podpisania protoko\u0142u i w ci\u0105gu 7 dni przedstawi\u0107 GIODO swoje stanowisko.<\/p>\n<p><strong>Co zostanie sprawdzone podczas kontroli GIODO?<\/strong><\/p>\n<p>W szczeg\u00f3lno\u015bci b\u0119dzie to:<\/p>\n<ul>\n<li>Legalno\u015b\u0107 przetwarzania danych osobowych. Szko\u0142a j\u0119zykowa musi wykaza\u0107 si\u0119 co najmniej jedn\u0105 przes\u0142ank\u0105 legalno\u015bci dla ka\u017cdego zbioru danych osobowych. Mo\u017ce to by\u0107 np. zgoda, przepis prawa, czy realizacja umowy. Je\u015bli za przes\u0142ank\u0119 zostanie wskazana zgoda na przetwarzanie danych osobowych, to nale\u017cy Inspektorowi okaza\u0107 udokumentowane przyk\u0142ady takich zg\u00f3d.<\/li>\n<li>Adekwatno\u015b\u0107 przetwarzania danych osobowych. Zakres (tzn. szczeg\u00f3\u0142owo\u015b\u0107) zbieranych danych musi by\u0107 adekwatny do celu ich zbierania. Niew\u0142a\u015bciwe b\u0119dzie np. zbieranie bardzo szczeg\u00f3\u0142owych danych osobowych (imi\u0119, nazwisko, PESEL) dla osi\u0105gni\u0119cia tak prozaicznego celu, jak wysy\u0142ka Newslettera.<\/li>\n<li>Wymagana ustaw\u0105 dokumentacja. Szko\u0142a j\u0119zykowa ma obowi\u0105zek opracowa\u0107: Polityk\u0119 Bezpiecze\u0144stwa, Instrukcj\u0119 Zarz\u0105dzania Systemami Informatycznymi oraz Upowa\u017cnienia do przetwarzania danych osobowych i Ewidencj\u0119 Upowa\u017cnie\u0144.<\/li>\n<li>Realizacja obowi\u0105zku informacyjnego. Zawsze, je\u017celi szko\u0142a j\u0119zykowa zbiera od kogo\u015b dane osobowe, musi poinformowa\u0107 m.in. o celu zbierania tych danych i o tym kto jest ich administratorem.<\/li>\n<li>Rejestracja zbior\u00f3w danych. Szko\u0142a j\u0119zykowa jest zobligowana do zarejestrowania wszystkich przetwarzanych w plac\u00f3wce zbior\u00f3w danych do GIODO. Pewne wyj\u0105tki od tej zasady s\u0105 opisane w art. 43 uodo.<\/li>\n<li>Zabezpieczenia organizacyjne. Szko\u0142a j\u0119zykowa powinna przeszkoli\u0107 pracownik\u00f3w przetwarzaj\u0105cych dane osobowe, wyznaczy\u0107 Administratora Bezpiecze\u0144stwa Informacji (ABI), stworzy\u0107 odpowiednie procedury bezpiecze\u0144stwa.<\/li>\n<li>Legalno\u015b\u0107 przekazywania danych osobowych zewn\u0119trznym podmiotom. W takich przypadkach szko\u0142y j\u0119zykowe maj\u0105 obowi\u0105zek podpisywa\u0107 tzw. umowy powierzenia. Podczas kontroli r\u00f3wnie\u017c b\u0119d\u0105 one sprawdzane: zar\u00f3wno ich forma, jak i tre\u015b\u0107.<\/li>\n<li>Zabezpieczenie fizyczne przetwarzanych danych osobowych. Szko\u0142a j\u0119zykowa powinna zastosowa\u0107 \u015brodki ochrony fizycznej (np. szafa zamykana na klucz, rolety antyw\u0142amaniowe, monitoring), kt\u00f3re zabezpiecz\u0105 przetwarzane dane osobowe przed udost\u0119pnieniem osobom nieupowa\u017cnionym, zabraniem przez osob\u0119 nieuprawnion\u0105, utrat\u0105, uszkodzeniem, lub zniszczeniem.<\/li>\n<li>Zabezpieczenia techniczne jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych. Szko\u0142a j\u0119zykowa powinna stosowa\u0107 takie zabezpieczenia, aby spe\u0142ni\u0107 minimalne wymogi przewidziane przez Rozporz\u0105dzenie Ministra Spraw Wewn\u0119trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk\u00f3w technicznych i organizacyjnych, jakim powinny odpowiada\u0107 urz\u0105dzenia i systemy informatyczne s\u0142u\u017c\u0105ce do przetwarzania danych osobowych.<\/li>\n<\/ul>\n<p>Najcz\u0119stsze uchybienia wykrywane podczas kontroli GIODO w szko\u0142ach j\u0119zykowych:<\/p>\n<ul>\n<li>zabieranie przez pracownik\u00f3w szk\u00f3\u0142 do domu (a wi\u0119c poza obszar przetwarzania danych osobowych) sprawdzian\u00f3w czy dziennik\u00f3w zawieraj\u0105cych dane osobowe kursant\u00f3w<\/li>\n<li>przekazywanie przez telefon danych osobom niezweryfikowanym odbiorcom<\/li>\n<li>brak dokumentacji z zakresu ochrony danych osobowych: Polityce bezpiecze\u0144stwa oraz Instrukcji zarz\u0105dzania systemami informatycznymi<\/li>\n<li>nienadawanie upowa\u017cnie\u0144 pracownikom, kt\u00f3rych praca bezpo\u015brednio zwi\u0105zane jest z przetwarzaniem danych osobowych.<\/li>\n<li>zapomina si\u0119 o wyznaczeniu Administratora Bezpiecze\u0144stwa Informacji<\/li>\n<li>w kwestii zabezpieczenia system\u00f3w informatycznych:\u00a0 niezmieniane od lat has\u0142a dost\u0119pu, jedno konto w systemie z kt\u00f3rego korzysta wielu u\u017cytkownik\u00f3w, brak kopii zapasowych czy chocia\u017cby nieaktualne oprogramowanie antywirusowe.<\/li>\n<\/ul>\n<p>Jak widz\u0105 Pa\u0144stwo, obowi\u0105zk\u00f3w, kt\u00f3re ustawa o ochronie danych osobowych nak\u0142ada na szko\u0142y j\u0119zykowe jest do\u015b\u0107 du\u017co. Wa\u017cne aby do kontroli odpowiednio si\u0119 przygotowa\u0107. Nie nale\u017cy tych przygotowa\u0144 odk\u0142ada\u0107 na ostatni\u0105 chwil\u0119, poniewa\u017c zbudowanie sprawnego i bezpiecznego systemu ochrony danych osobowych to kwestia tygodni, a nie dni. Je\u015bli w\u0142a\u015bciciel szko\u0142y j\u0119zykowej nie jest w stanie samodzielnie wdro\u017cy\u0107 wszystkich opisanych zalece\u0144, zawsze mo\u017ce skorzysta\u0107 z pomocy jednego z podmiot\u00f3w specjalizuj\u0105cych si\u0119 w ochronie danych osobowych.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Niniejszy artyku\u0142 rozpoczyna cykl go\u015bcinnych wpis\u00f3w na naszym blogu. Autorem pierwszego go\u015bcinnego posta \u00a0jest\u00a0Kancelaria Prawnicza Lex Artist\u00a0\u00a0(www: lex-artist.pl, blog: blog-daneosobowe.pl). [&hellip;]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mo_disable_npp":"","footnotes":""},"categories":[5,14,11],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/posts\/1005"}],"collection":[{"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/comments?post=1005"}],"version-history":[{"count":22,"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/posts\/1005\/revisions"}],"predecessor-version":[{"id":1021,"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/posts\/1005\/revisions\/1021"}],"wp:attachment":[{"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/media?parent=1005"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/categories?post=1005"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.langlion.com\/pl\/wp-json\/wp\/v2\/tags?post=1005"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}