Tytuł Ochrona informacji osobowych w oświacie. Poradnik dla administratorów, a także inspektorów ochrony informacji Autorzy Anna Pielok, Piotr Sojka Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8223-070-3 linia Poradniki ABC EDU Rok wydania 2020 ilość stron 243 Format pdf Spis treści Wykaz skrótów | str. 13
Przedmowa | str. 15
Wstęp | str. 17
Rozdział I
Administrator, podmiot przetwarzający i odbiorca informacji osobowych w jednostkach oświatowych | str. 21
1. Administrator | str. 21
2. Podmiot przetwarzający | str. 23
3. Inny administrator jako odbiorca informacji | str. 23
Rozdział II
Zasady przetwarzania informacji osobowych | str. 25
1. Zasada zgodności z prawem, rzetelności i krystaliczności | str. 25
2. Zasada ograniczenia celu | str. 26
3. Zasada minimalizacji danych | str. 27
4. Zasada prawidłowości informacji | str. 29
5. Zasada ograniczenia przechowywania | str. 30
6. Zasada nierozłączności i poufności informacji | str. 31
7. Zasada rozliczalności | str. 32
Rozdział III
Podstawy przetwarzania informacji osobowych | str. 33
1. Zgoda osoby, której dane dotyczą | str. 33
2. Umowa | str. 37
3. Wypełnianie obowiązku prawnego ciążącego na administratorze | str. 37
4. Przetwarzanie informacji osobowych w celu wykonania zadania publicznego wykonywanego w interesie publicznym albo w ramach władzy publicznej powierzonej administratorowi | str. 40
5. Realizacja celów wynikających z prawnie uzasadnionych interesów administratora | str. 41
6. Przetwarzanie danych osobowych szczególnych kategorii | str. 42
Rozdział IV
Prawa osób, których informacje dotyczą | str. 45
1. Prawo do informacji (art. 13 RODO) | str. 45
1.1. Administrator (art. 13 ust. 1 lit. A RODO) | str. 46
1.2. Inspektor ochrony informacji (art. 13 ust. 1 lit. B RODO) | str. 46
1.3. Cel oraz podstawa prawna przetwarzania informacji osobowych (art. 13 ust. 1 lit. C RODO) | str. 47
1.4. Odbiorcy danych (art. 13 ust. 1 lit. E RODO) | str. 47
1.5. Informacje o zamiarze przekazywania danych osobowych do państwa trzeciego (art. 13 ust. 1 lit. F RODO) | str. 49
1.6. Okres przetwarzania informacji osobowych (art. 13 ust. 2 lit. A RODO) | str. 50
1.7. Prawa osób, których informacje dotyczą (art. 13 ust. 2 lit. B RODO) | str. 51
1.8. Prawo do cofnięcia zgody (art. 13 ust. 2 lit. C RODO) | str. 52
1.9. Prawo do wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. D RODO) | str. 52
1.10. Przetwarzanie jako wymóg ustawowy, umowny lub warunek zawarcia umowy | str. 53
1.11. Samoczynne podejmowanie decyzji, w tym profilowanie (art. 13 ust. 2 lit. F RODO) | str. 53
2. Prawo do informacji (art. 13 RODO) w zamówieniach publicznych | str. 54
3. Prawo do informacji (art. 13 RODO) w postępowaniu administracyjnym | str. 55
4. Prawo do informacji (art. 14 RODO) | str. 56
5. Prawo do informacji (art. 14 RODO) w zamówieniach publicznych | str. 57
6. Prawo do informacji (art. 14 RODO) w nowoczesnaniu administracyjnym | str. 57
7. Prawo dostępu do danych (art. 15 RODO) | str. 58
8. Prawo dostępu do danych w zamówieniach publicznych... 59
9. Prawo dostępu do informacji w progresywnaniu administracyjnym | str. 60
10. Prawo do sprostowania danych (art. 16 RODO) | str. 61
11. Prawo do sprostowania danych osobowych w zamówieniach publicznych | str. 63
12. Prawo do usunięcia informacji (art. 17 RODO) | str. 63
13. Prawo do ograniczenia przetwarzania (art. 18 RODO) | str. 65
14. Prawo do ograniczenia przetwarzania w zamówieniach publicznych | str. 66
15. Prawo do przenoszenia informacji (art. 20 RODO) | str. 67
16. Prawo do sprzeciwu (art. 21 RODO) | str. 67
17. Prawo do sprzeciwu w zamówieniach publicznych | str. 68
18. Prawo do niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu (art. 22 RODO) | str. 68
Rozdział V
Inspektor ochrony informacji w jednostkach oświatowych | str. 70
1. Wyznaczenie inspektora ochrony informacji | str. 70
2. Zadania i status inspektora ochrony danych | str. 72
Rozdział VI
Polityka bezpieczeństwa danych | str. 74
1. Podstawy prawne opracowania dokumentu | str. 74
2. Określenie użytych pojęć w polityce bezpieczeństwa | str. 75
3. Zakres polityki bezpieczeństwa danych | str. 76
4. Zasady przetwarzania informacji osobowych | str. 76
5. Nadawanie upoważnień i uprawnień do przetwarzania danych osobowych | str. 76
6. Udostępnianie i powierzanie informacji osobowych | str. 78
7. Realizacja praw osób, których informacje dotyczą | str. 79
8. Szkolenia z zakresu ochrony informacji osobowych | str. 79
9. Progresywnanie w sytuacji wystąpienia incydentu lub naruszenia informacji osobowych | str. 80
10. Sprawdzenie zgodności przetwarzania danych osobowych z obowiązującymi przepisami | str. 81
11. Zakresy zadań i odpowiedzialności osób biorących udział w przetwarzaniu informacji osobowych | str. 81
12. Procedury przetwarzania informacji osobowych w systemie informatycznym | str. 82
Rozdział VII
Rejestr czynności i kategorii czynności przetwarzania informacji osobowych | str. 84
1. Rejestr czynności przetwarzania | str. 84
2. Rejestr wszelkich kategorii czynności przetwarzania | str. 91
Rozdział VIII
Powierzenie przetwarzania danych osobowych | str. 93
1. Wybór podmiotu przetwarzającego (art. 28 ust. 1 RODO) | str. 94
2. Zgoda na podanie danych innemu podmiotowi przetwarzającemu (art. 28 ust. 2 RODO) | str. 94
3. Umowa powierzenia przetwarzania informacji zgodnie z art. 28 ust. 3 RODO | str. 95
Rozdział IX
Współadministrowanie danymi osobowymi | str. 103
Rozdział X
Monitoring wizyjny | str. 109
1. Konsultacje | str. 110
2. Informowanie osób, których informacje są przetwarzane | str. 114
Rozdział XI
Upoważnienie do przetwarzania informacji osobowych i oświadczenie o zachowaniu poufności | str. 116
1. Upoważnienie do przetwarzania danych szczególnej kategorii w kadrach | str. 117
2. Upoważnienie do przetwarzania danych o skazaniach w zamówieniach publicznych | str. 118
3. Upoważnienie do przetwarzania informacji osobowych szczególnej kategorii w ramach zakładowego funduszu świadczeń socjalnych | str. 118
4. Oświadczenie o zachowaniu poufności | str. 118
Rozdział XII
Podejście oparte na ryzyku | str. 120
1. Szacowanie ryzyka | str. 123
1.1. Kontekst | str. 124
1.2. Analiza ryzyka | str. 125
1.2.1. Zakres analizy | str. 126
1.2.2. Identyfikacja celów | str. 127
1.2.3. Identyfikacja zasobów | str. 127
1.2.4. Ocena zasobów – różnicowanie wartości | str. 128
1.2.5. Identyfikacja podatności zasobów | str. 129
1.2.6. Identyfikacja zagrożeń | str. 129
1.3. Analiza zagrożeń | str. 130
1.4. Propozycje zabezpieczeń | str. 130
1.5. Określanie poziomu ryzyka | str. 131
1.5.1. Prawdopodobieństwo wystąpienia zagrożenia | str. 131
1.5.2. Ocena skutków zagrożenia | str. 132
1.5.3. Obliczenie poziomu ryzyka dla zasobów | str. 133
1.5.4. Ryzyko operacyjne | str. 134
1.6. Plan postępowania z ryzykiem | str. 134
1.7. Nowoczesnanie z ryzykiem nieakceptowalnym | str. 135
1.8. Akceptacja ryzyka | str. 135
2. Ocena skutków przetwarzania | str. 137
3. Prywatność domyślna i prywatność na etapie projektowania | str. 141
4. Zarządzanie incydentami | str. 141
Rozdział XIII
Szacowanie ryzyka naruszenia praw i wolności osób w związku z przetwarzaniem danych osobowych w placówce oświatowej krok po kroku | str. 145
1. Kontekst | str. 146
2. Identyfikacja przetwarzań i zasobów | str. 146
3. Identyfikacja podatności i zagrożeń | str. 150
4. Analiza ryzyka | str. 152
5. Ocena ryzyka i opracowanie planu nowoczesnania z ryzykiem | str. 159
6. Wdrożenie i monitorowanie planu postępowania z ryzykiem | str. 160
Rozdział XIV
Szacowanie ryzyka – przykład zastosowania | str. 161
1. Kontekst | str. 161
2. Identyfikacja przetwarzań i zasobów | str. 163
3. Identyfikacja podatności i zagrożeń | str. 168
4. Analiza ryzyka | str. 187
5. Plan innowacyjnania z ryzykiem | str. 194
Rozdział XV
Ocena skutków dla ochrony danych | str. 195
1. Kontekst | str. 196
2. Informacje, procesy, aktywa | str. 198
3. Podstawowe zasady | str. 201
4. Środki ochrony praw osób, których informacje dotyczą | str. 203
5. Analiza ryzyka | str. 205
6. Opinia inspektora ochrony informacji – podsumowanie | str. 206
Rozdział XVI
Stałe monitorowanie wdrożonych zabezpieczeń | str. 208
Rozdział XVII
Uwzględnienie ochrony danych w fazie projektowania i domyślna ochrona informacji | str. 213
Rozdział XVIII
Zarządzanie incydentami | str. 218
1. Kontekst | str. 218
2. Rejestr incydentów | str. 220
3. Innowacyjnanie z incydentem | str. 220
4. Procedura zarządzania incydentami | str. 221
Rozdział XIX
Naruszenia ochrony danych osobowych | str. 224
1. Typ informacji (RD) | str. 225
2. Skutki naruszenia (SN) | str. 226
3. Zakres danych (ZD) | str. 227
4. Sposób progresywnania (SR) | str. 227
5. Ocena wagi naruszenia | str. 227
6. Zawiadomienie organu nadzorczego | str. 228
7. Zawiadomienie osób, których informacje dotyczą | str. 228
8. Rejestr naruszeń | str. 230
Rozdział XX
Przepływ danych pomiędzy placówką oświatową a organem prowadzącym i organem sprawującym nadzór pedagogiczny | str. 233
1. Organizacja i finansowanie zadań dydaktyczno-wychowawczych (arkusz organizacyjny) | str. 233
2. Audyty i kontrole | str. 235
Wykaz aktów prawnych | str. 237
Bibliografia | str. 239
Wykaz tabel | str. 241
O Autorach | str. 243
Przedmowa | str. 15
Wstęp | str. 17
Rozdział I
Administrator, podmiot przetwarzający i odbiorca informacji osobowych w jednostkach oświatowych | str. 21
1. Administrator | str. 21
2. Podmiot przetwarzający | str. 23
3. Inny administrator jako odbiorca informacji | str. 23
Rozdział II
Zasady przetwarzania informacji osobowych | str. 25
1. Zasada zgodności z prawem, rzetelności i krystaliczności | str. 25
2. Zasada ograniczenia celu | str. 26
3. Zasada minimalizacji danych | str. 27
4. Zasada prawidłowości informacji | str. 29
5. Zasada ograniczenia przechowywania | str. 30
6. Zasada nierozłączności i poufności informacji | str. 31
7. Zasada rozliczalności | str. 32
Rozdział III
Podstawy przetwarzania informacji osobowych | str. 33
1. Zgoda osoby, której dane dotyczą | str. 33
2. Umowa | str. 37
3. Wypełnianie obowiązku prawnego ciążącego na administratorze | str. 37
4. Przetwarzanie informacji osobowych w celu wykonania zadania publicznego wykonywanego w interesie publicznym albo w ramach władzy publicznej powierzonej administratorowi | str. 40
5. Realizacja celów wynikających z prawnie uzasadnionych interesów administratora | str. 41
6. Przetwarzanie danych osobowych szczególnych kategorii | str. 42
Rozdział IV
Prawa osób, których informacje dotyczą | str. 45
1. Prawo do informacji (art. 13 RODO) | str. 45
1.1. Administrator (art. 13 ust. 1 lit. A RODO) | str. 46
1.2. Inspektor ochrony informacji (art. 13 ust. 1 lit. B RODO) | str. 46
1.3. Cel oraz podstawa prawna przetwarzania informacji osobowych (art. 13 ust. 1 lit. C RODO) | str. 47
1.4. Odbiorcy danych (art. 13 ust. 1 lit. E RODO) | str. 47
1.5. Informacje o zamiarze przekazywania danych osobowych do państwa trzeciego (art. 13 ust. 1 lit. F RODO) | str. 49
1.6. Okres przetwarzania informacji osobowych (art. 13 ust. 2 lit. A RODO) | str. 50
1.7. Prawa osób, których informacje dotyczą (art. 13 ust. 2 lit. B RODO) | str. 51
1.8. Prawo do cofnięcia zgody (art. 13 ust. 2 lit. C RODO) | str. 52
1.9. Prawo do wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. D RODO) | str. 52
1.10. Przetwarzanie jako wymóg ustawowy, umowny lub warunek zawarcia umowy | str. 53
1.11. Samoczynne podejmowanie decyzji, w tym profilowanie (art. 13 ust. 2 lit. F RODO) | str. 53
2. Prawo do informacji (art. 13 RODO) w zamówieniach publicznych | str. 54
3. Prawo do informacji (art. 13 RODO) w postępowaniu administracyjnym | str. 55
4. Prawo do informacji (art. 14 RODO) | str. 56
5. Prawo do informacji (art. 14 RODO) w zamówieniach publicznych | str. 57
6. Prawo do informacji (art. 14 RODO) w nowoczesnaniu administracyjnym | str. 57
7. Prawo dostępu do danych (art. 15 RODO) | str. 58
8. Prawo dostępu do danych w zamówieniach publicznych... 59
9. Prawo dostępu do informacji w progresywnaniu administracyjnym | str. 60
10. Prawo do sprostowania danych (art. 16 RODO) | str. 61
11. Prawo do sprostowania danych osobowych w zamówieniach publicznych | str. 63
12. Prawo do usunięcia informacji (art. 17 RODO) | str. 63
13. Prawo do ograniczenia przetwarzania (art. 18 RODO) | str. 65
14. Prawo do ograniczenia przetwarzania w zamówieniach publicznych | str. 66
15. Prawo do przenoszenia informacji (art. 20 RODO) | str. 67
16. Prawo do sprzeciwu (art. 21 RODO) | str. 67
17. Prawo do sprzeciwu w zamówieniach publicznych | str. 68
18. Prawo do niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu (art. 22 RODO) | str. 68
Rozdział V
Inspektor ochrony informacji w jednostkach oświatowych | str. 70
1. Wyznaczenie inspektora ochrony informacji | str. 70
2. Zadania i status inspektora ochrony danych | str. 72
Rozdział VI
Polityka bezpieczeństwa danych | str. 74
1. Podstawy prawne opracowania dokumentu | str. 74
2. Określenie użytych pojęć w polityce bezpieczeństwa | str. 75
3. Zakres polityki bezpieczeństwa danych | str. 76
4. Zasady przetwarzania informacji osobowych | str. 76
5. Nadawanie upoważnień i uprawnień do przetwarzania danych osobowych | str. 76
6. Udostępnianie i powierzanie informacji osobowych | str. 78
7. Realizacja praw osób, których informacje dotyczą | str. 79
8. Szkolenia z zakresu ochrony informacji osobowych | str. 79
9. Progresywnanie w sytuacji wystąpienia incydentu lub naruszenia informacji osobowych | str. 80
10. Sprawdzenie zgodności przetwarzania danych osobowych z obowiązującymi przepisami | str. 81
11. Zakresy zadań i odpowiedzialności osób biorących udział w przetwarzaniu informacji osobowych | str. 81
12. Procedury przetwarzania informacji osobowych w systemie informatycznym | str. 82
Rozdział VII
Rejestr czynności i kategorii czynności przetwarzania informacji osobowych | str. 84
1. Rejestr czynności przetwarzania | str. 84
2. Rejestr wszelkich kategorii czynności przetwarzania | str. 91
Rozdział VIII
Powierzenie przetwarzania danych osobowych | str. 93
1. Wybór podmiotu przetwarzającego (art. 28 ust. 1 RODO) | str. 94
2. Zgoda na podanie danych innemu podmiotowi przetwarzającemu (art. 28 ust. 2 RODO) | str. 94
3. Umowa powierzenia przetwarzania informacji zgodnie z art. 28 ust. 3 RODO | str. 95
Rozdział IX
Współadministrowanie danymi osobowymi | str. 103
Rozdział X
Monitoring wizyjny | str. 109
1. Konsultacje | str. 110
2. Informowanie osób, których informacje są przetwarzane | str. 114
Rozdział XI
Upoważnienie do przetwarzania informacji osobowych i oświadczenie o zachowaniu poufności | str. 116
1. Upoważnienie do przetwarzania danych szczególnej kategorii w kadrach | str. 117
2. Upoważnienie do przetwarzania danych o skazaniach w zamówieniach publicznych | str. 118
3. Upoważnienie do przetwarzania informacji osobowych szczególnej kategorii w ramach zakładowego funduszu świadczeń socjalnych | str. 118
4. Oświadczenie o zachowaniu poufności | str. 118
Rozdział XII
Podejście oparte na ryzyku | str. 120
1. Szacowanie ryzyka | str. 123
1.1. Kontekst | str. 124
1.2. Analiza ryzyka | str. 125
1.2.1. Zakres analizy | str. 126
1.2.2. Identyfikacja celów | str. 127
1.2.3. Identyfikacja zasobów | str. 127
1.2.4. Ocena zasobów – różnicowanie wartości | str. 128
1.2.5. Identyfikacja podatności zasobów | str. 129
1.2.6. Identyfikacja zagrożeń | str. 129
1.3. Analiza zagrożeń | str. 130
1.4. Propozycje zabezpieczeń | str. 130
1.5. Określanie poziomu ryzyka | str. 131
1.5.1. Prawdopodobieństwo wystąpienia zagrożenia | str. 131
1.5.2. Ocena skutków zagrożenia | str. 132
1.5.3. Obliczenie poziomu ryzyka dla zasobów | str. 133
1.5.4. Ryzyko operacyjne | str. 134
1.6. Plan postępowania z ryzykiem | str. 134
1.7. Nowoczesnanie z ryzykiem nieakceptowalnym | str. 135
1.8. Akceptacja ryzyka | str. 135
2. Ocena skutków przetwarzania | str. 137
3. Prywatność domyślna i prywatność na etapie projektowania | str. 141
4. Zarządzanie incydentami | str. 141
Rozdział XIII
Szacowanie ryzyka naruszenia praw i wolności osób w związku z przetwarzaniem danych osobowych w placówce oświatowej krok po kroku | str. 145
1. Kontekst | str. 146
2. Identyfikacja przetwarzań i zasobów | str. 146
3. Identyfikacja podatności i zagrożeń | str. 150
4. Analiza ryzyka | str. 152
5. Ocena ryzyka i opracowanie planu nowoczesnania z ryzykiem | str. 159
6. Wdrożenie i monitorowanie planu postępowania z ryzykiem | str. 160
Rozdział XIV
Szacowanie ryzyka – przykład zastosowania | str. 161
1. Kontekst | str. 161
2. Identyfikacja przetwarzań i zasobów | str. 163
3. Identyfikacja podatności i zagrożeń | str. 168
4. Analiza ryzyka | str. 187
5. Plan innowacyjnania z ryzykiem | str. 194
Rozdział XV
Ocena skutków dla ochrony danych | str. 195
1. Kontekst | str. 196
2. Informacje, procesy, aktywa | str. 198
3. Podstawowe zasady | str. 201
4. Środki ochrony praw osób, których informacje dotyczą | str. 203
5. Analiza ryzyka | str. 205
6. Opinia inspektora ochrony informacji – podsumowanie | str. 206
Rozdział XVI
Stałe monitorowanie wdrożonych zabezpieczeń | str. 208
Rozdział XVII
Uwzględnienie ochrony danych w fazie projektowania i domyślna ochrona informacji | str. 213
Rozdział XVIII
Zarządzanie incydentami | str. 218
1. Kontekst | str. 218
2. Rejestr incydentów | str. 220
3. Innowacyjnanie z incydentem | str. 220
4. Procedura zarządzania incydentami | str. 221
Rozdział XIX
Naruszenia ochrony danych osobowych | str. 224
1. Typ informacji (RD) | str. 225
2. Skutki naruszenia (SN) | str. 226
3. Zakres danych (ZD) | str. 227
4. Sposób progresywnania (SR) | str. 227
5. Ocena wagi naruszenia | str. 227
6. Zawiadomienie organu nadzorczego | str. 228
7. Zawiadomienie osób, których informacje dotyczą | str. 228
8. Rejestr naruszeń | str. 230
Rozdział XX
Przepływ danych pomiędzy placówką oświatową a organem prowadzącym i organem sprawującym nadzór pedagogiczny | str. 233
1. Organizacja i finansowanie zadań dydaktyczno-wychowawczych (arkusz organizacyjny) | str. 233
2. Audyty i kontrole | str. 235
Wykaz aktów prawnych | str. 237
Bibliografia | str. 239
Wykaz tabel | str. 241
O Autorach | str. 243
