JEŚLI JESTEŚ NAUCZYCIELEM...

─ Nauczyciel może przetwarzać dane osobowe uczniów i ich rodziców tylko w celach związanych z wykonywaniem swoich obowiązków służbowych.

─ Nauczyciel musi pamiętać o bezpiecznym korzystaniu z komputerów i innych urządzeń zarówno wtedy, gdy zapewnił mu je pracodawca, jak i wtedy, gdy korzysta z własnych.

─ RODO nie zabrania wykorzystywania przez nauczyciela prywatnego komputera, tabletu, czy telefonu do przetwarzania danych osobowych w związku ze zdalnym prowadzeniem zajęć.

─ Jeżeli nauczyciel używa własnego urządzenia, powinien samodzielnie spełnić podstawowe wymogi bezpieczeństwa: czy wykorzystywane urządzenie ma aktualny system operacyjny i program antywirusowe.

─ Przechowując dane na sprzęcie, do którego mogą mieć dostęp inne osoby, należy używać mocnych haseł dostępowych  do kont użytkowników w przypadku korzystania z komputera przez wiele osób.

─ Gdy dane są przechowywane na urządzeniach przenośnych (np. pamięć USB), muszą być bezwzględnie szyfrowane i chronione hasłem.

─ Nauczyciel powinien prowadzić taką korespondencję ze służbowej skrzynki pocztowej, którą powinna zapewnić mu szkoła. Jeżeli szkoła nie zapewniła nauczycielom służbowych skrzynek poczty elektronicznej, to jeżeli wykorzystują oni do celów służbowych prywatną skrzynkę pocztową muszą pamiętać, aby korzystać z niej w sposób rozważny i bezpieczny.

─ Szczególną uwagę nauczyciel musi zwrócić na zabezpieczenie danych osobowych udostępnianych w przesyłanych wiadomościach. Zawsze przed wysłaniem wiadomości, należy upewnić się, czy niezbędne jest wysłanie danych osobowych.

─ Na ogólnie dostępnych portalach lub stronach internetowych nauczyciel może jedynie publikować materiały edukacyjne, natomiast nie może przetwarzać danych osobowych uczniów lub rodziców.

 

KAŻDY UŻYTKOWNIK KOMPUTERA...

─ Na bieżąco aktualizuj systemy operacyjne.

─ Systematycznie aktualizuj programy antywirusowe

─ Regularnie skanuj stacje robocze programami antywirusowymi

─ Pobieraj oprogramowanie wyłącznie ze stron producentów.

─ Nie otwieraj załączników z nieznanych źródeł dostarczanych poprzez korespondencję -elektroniczną.

─ Nie zapamiętuj haseł w aplikacjach webowych.

─ Nie zapisuj haseł na kartkach.

─ Nie używaj tych samych haseł w różnych systemach informatycznych.

─ Zabezpieczaj serwery plików czy inne zasoby sieciowe. Zabezpieczaj sieci

─ Dostosuj złożoność haseł odpowiednio do zagrożeń.

─ Unikaj wchodzenia na nieznane czy przypadkowe strony internetowe.

─ Nie loguj się do systemów informatycznych w przypadkowych miejscach z niezaufanych urządzeń lub publicznych niezabezpieczonych sieci Wi-Fi.

─ Wykonuj regularne kopie zapasowe.

─ Szyfruj dyski twarde w komputerach przenośnych.

─ Przy pracy zdalnej korzystaj z szyfrowanego połączenia VPN.

─ Odchodząc od komputera, blokuj stację komputerową.

─ Nie umieszczaj w komputerze przypadkowo znalezionych nośników USB. Może znajdować się na nich złośliwe oprogramowanie.

 

 ------------------------------------------------------------------------------------------------------------------------------------------

 

 

 

 

 

Jeśli pracodawca prowadzi ZFŚS, dotyczy go także RODO

 

Żeby przyznać pracownikowi świadczenie z zakładowego funduszu świadczeń socjalnych, pracodawca musi poznać i ocenić sytuację życiową i materialną pracownika oraz członków jego rodziny, z którymi prowadzi wspólne gospodarstwo domowe. W celu realizacji tych potrzeb musi więc przetwarzać dane osobowe tych osób, ale tylko te dane, które są niezbędne dla realizacji celu, w jakim je pozyskał. Pracodawca jest zobowiązany również do dokonywania przeglądu tych danych co najmniej raz w roku.

Warto zwrócić uwagę, że obowiązujące od 4 maja 2019 r. zmiany w ustawie o zakładowym funduszu świadczeń socjalnych (dalej: ustawa ZFŚS) nie wpływają na zmianę stanowiska Urzędu Ochrony Danych Osobowych dotyczącego zasad przetwarzania danych na potrzeby korzystania z usług i świadczeń finansowanych z zakładowego funduszu świadczeń socjalnych.

Pracodawca prowadzący ZFŚS ma prawo przetwarzać dane pracowników…

Zgodnie z przepisami tej ustawy, zarówno przyznawanie świadczeń, jak i ich wysokość uzależnione są od spełnienia przez osobę ubiegającą się o dane świadczenie określonych kryteriów socjalnych. Artykuł 8 ust. 1 wspomnianej ustawy zobowiązuje pracodawcę do tego, by uzależnił udzielenie ulgi lub świadczenia od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.

Oznacza to, że pracodawca musi poznać i ocenić sytuację życiową, a także materialną wszystkich członków rodziny pracownika, z którymi prowadzi on wspólne gospodarstwo domowe. Dlatego też w celu realizacji tych potrzeb musi przetwarzać dane osobowe pracownika i członków jego rodziny. Przetwarzanie tych danych nie może jednak prowadzić do gromadzenia ich w zakresie szerszym, niż jest to konieczne dla realizacji celu, w jakim dane te są pozyskiwane. Dodany w 2019 roku art. 8 ust. 1a ustawy określa, że pracownik przekazuje te dane pracodawcy w formie oświadczenia. Natomiast potwierdzenie danych w nim zawartych może odbywać się m.in. na podstawie oświadczeń i zaświadczeń o sytuacji życiowej.

… ale tylko w takim zakresie, jaki jest niezbędny do realizacji celów

W opinii UODO, jeżeli na potrzeby udokumentowania spełnienia określonych kryteriów przydatny byłby dostęp do różnych dokumentów, np. PIT-u małżonka, to powołana regulacja umożliwia pracodawcy jedynie wgląd do nich, ale nie daje prawa do przechowywania ich kopii czy innego utrwalania. Powodowałoby to gromadzenie danych w szerszym zakresie niż jest to niezbędne do celu przetwarzania. PIT współmałżonka to dokument zawierający również takie dane, jak np. nazwa zakładu pracy czy numer PESEL, które nie są niezbędne do potwierdzenia danych przedstawionych w oświadczeniu pracownika.

Tymczasem administratorzy, przetwarzając dane osobowe, nie powinni też zapominać o zasadach określonych w ogólnym rozporządzeniu o ochronie danych (RODO). Jedną z nich jest zasada minimalizacji danych, zgodnie z którą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Przyjęło się, że adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swymi danymi a interesem administratora (w tym przypadku pracodawcy).

Przepisy ustawy o ZFŚS nigdzie nie wskazują, by członkowie rodzin pracowników musieli podpisywać dodatkowe oświadczenia. Z regulacji tych wynika, że oświadczenie na temat sytuacji rodzinnej, życiowej i materialnej przedstawia pracownik.

Powyższe wyjaśnienia mają zastosowanie również w odniesieniu do przetwarzania danych o stanie zdrowia.

ZFŚS a RODO

Podstawami uprawniającymi pracodawców do przetwarzania danych na potrzeby przyznania ulgowej usługi i świadczenia oraz dopłaty z zakładowego funduszu świadczeń socjalnych i ustalenia ich wysokości są art. 6 ust. 1 lit. c oraz art. 9 ust. 2 lit. b RODO.

Pierwszy z powołanych przepisów legalizuje przetwarzanie danych osobowych, gdy jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Drugi natomiast ma zastosowanie w przypadku przetwarzania szczególnych kategorii danych (np. dotyczących zdrowia). Umożliwia on przetwarzanie takich danych, gdy jest to niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

Pracodawca musi co najmniej raz w roku sprawdzić, jakie dane przetwarza

Przepisy ustawy o ZFŚS zakładają, że pracodawca w ramach Funduszu przetwarza dane osobowe przez okres niezbędny do przyznania ulgowej usługi i świadczenia czy też dopłaty z tego źródła oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń (np. zobowiązania podatkowe ulegają przedawnieniu po pięciu latach).

Od 4 maja 2019 r. nowe przepisy nakładają również obowiązek dokonywania przez pracodawcę przeglądu danych osobowych zawartych w dokumentacji wytworzonej w ramach prowadzenia Funduszu – nie rzadziej niż raz w roku kalendarzowym, w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca jest zobowiązany również mocą powyższych przepisów do usuwania danych osobowych, których dalsze przechowywanie jest zbędne.

Prezes UODO wskazuje, że RODO wymaga nieprzerwanego, ciągłego, prawidłowego przetwarzania danych, w każdym procesie wykonywania operacji na danych. Nie wystarczy więc dokonać jednorazowego przeglądu danych w istniejących zasobach. Przepisy te nakazują pracodawcy usuwać dane osobowe, których dalsze przechowywanie jest zbędne, jest ściśle związane z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), tj. przyznawanie świadczeń socjalno-bytowych w ramach działania Funduszu.

W praktyce oznacza to, że zarówno w podmiotach publicznych, jak i niepublicznych, pracodawcy prowadzący ZFŚS muszą dokonywać corocznych przeglądów, aby zweryfikować, czy przetwarzają jedynie dane niezbędne do realizacji celów świadczeń socjalnych swoich pracowników. Co ważne, przegląd dotyczy całości dokumentacji.

Pracodawca nie może zapomnieć o archiwizacji, jeśli dotyczy go ten wymóg

W przypadku pracodawcy będącego podmiotem publicznym, który zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach ma obowiązek archiwizowania wytworzonej dokumentacji, istotne znaczenie przy realizacji obowiązków wynikających z ustawy o ZFŚS będą miały przepisy dotyczące archiwizacji. Oznacza to, że jeżeli dokumentacji z działania Funduszu zostanie przypisana kategoria archiwizacyjna z jednolitego rzeczowego wykazu akt, to dokumenty niezbędne do realizacji celów, dla których prowadzony jest Fundusz będą musiały być przechowywane przez określony w tej kategorii czas. Wówczas nie można ich zniszczyć aż do czasu, kiedy będą one podlegały brakowaniu. Zatem podmioty publiczne będą realizowały zarówno cele związane z ochroną danych osobowych w ramach działania Funduszu, jak i cele archiwizacyjne.

Odnosząc się natomiast do pracodawców działających jako podmioty prywatne, będą oni realizować jedynie obowiązki wynikające z ustawy o ZFŚS. Zgodnie z zasadą celowości pracodawcy mający status podmiotu prywatnego są zobowiązani dokonywać minimum raz w roku przeglądu danych osobowych oraz usuwać te dane, które dla celów związanych z prowadzeniem Funduszu są zbędne.

 

 

do pobrania

 PORADNIK  DLA SZKÓŁ

 

Urząd Ochrony Danych Osobowych we współpracy z Ministerstwem Edukacji Narodowej przygotował praktyczny poradnik dotyczący przetwarzania danych osobowych w przedszkolach, szkołach i placówkach oświatowych.

Publikacja ta jest jednocześnie odpowiedzią na najczęściej pojawiające się wątpliwości związane z przetwarzaniem danych osobowych, zgłaszane w ostatnim czasie zarówno do UODO, jak i do MEN na temat funkcjonujących od blisko 3 miesięcy przepisów ogólnego rozporządzenia o ochronie danych (RODO).

Poradnik „Ochrona danych osobowych w szkołach i placówkach oświatowych” zawiera zaktualizowane wskazówki dotyczące przetwarzania danych osobowych dzieci, ich rodziców oraz opiekunów prawnych, nauczycieli, a także innych pracowników szkół i placówek oświatowych.

W opracowaniu wskazano podstawowe zasady, jakich dyrektorzy szkół i placówek oświatowych powinni przestrzegać, przetwarzając dane osobowe. Opisano też, jak przepisy ogólnego rozporządzenia o ochronie danych (RODO) i sektorowych aktów prawnych zastosować w konkretnych sytuacjach.