Procedura ochrony danych osobowych w dzienniku elektronicznym

Procedura ochrony danych osobowych w ramach funkcjonowania dziennika elektronicznego w Szkoła Podstawowa nr 1 im. Jana Kowalskiego w Warszawie

Rozdział I. Zakres podmiotowy i przedmiotowy Procedury

1. Postanowieniami Procedury ochrony danych osobowych w ramach funkcjonowania dziennika elektronicznego w Szkoła Podstawowa nr 1 im. Jana Kowalskiego w Warszawie, zwanej dalej Procedurą, objęci są wszyscy pracownicy wykonujący określone czynności w dzienniku elektronicznym, w tym nauczyciele, pracownicy obsługi, a także każda osoba, która uzyska dostęp do dziennika elektronicznego w celu wykonywania w nim określonych czynności związanych z przetwarzaniem danych osobowych (np. rodzic/opiekun prawny, uczeń w dotyczących ich zakresie)

2. Procedura określa zasady ochrony danych osobowych przetwarzanych (w tym przechowywanych) w dzienniku elektronicznym prowadzonym w Szkoła Podstawowa nr 1 im. Jana Kowalskiego w Warszawie, w tym zasady ich przechowywania, udostępniania i prowadzenia korespondencji z użytkownikami.

3. Procedura ma zastosowanie do informacji przetwarzanych w dzienniku elektronicznym i stanowiących jednocześnie dane osobowe, zgodnie z definicją wskazaną w Rozdziale II., przetwarzanych przez pracowników Administratora, zgodnie z nadanym upoważnieniem, w celu realizacji obowiązków służbowych, a także, we właściwym zakresie, rodziców/opiekunów prawnych oraz uczniów.

4. W dzienniku elektronicznym przetwarzane są takie dane osobowe, jak: Anna i Nowak uczniów i rodziców lub opiekunów prawnych, ich ul. Kwiatowa 1, 00-001 Warszawa, 123-456-789 rodzica lub opiekuna prawnego, [email protected] poczty elektronicznej, informacje o uzyskanych ocenach, informacje dotyczące zdrowia (w ramach zwolnień lekarskich lub podawane w treści korespondencji, inne dane osobowe ujawnione w treści korespondencji z rodzicami lub opiekunami prawnymi.

Rozdział II. Podstawowe pojęcia

Ilekroć w Procedurze jest mowa o:

1) Administratorze - należy przez to rozumieć Szkoła Podstawowa nr 1 im. Jana Kowalskiego w Warszawie;

2) Danych osobowych - należy przez to rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, 99010100000, ul. Polna 22, 20-002 Gdańsk, [email protected] internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

3) Danych osobowych szczególnych kategorii - należy przez to rozumieć dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

4) IOD - należy przez to rozumieć Inspektora Ochrony Danych, powoływanego przez Administratora na podstawie art. 37 RODO;

5) Przetwarzaniu - należy przez to rozumieć operację lub zestaw operacji określonych w art. 4 pkt 2) RODO, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; w szczególności, w odniesieniu do niniejszego regulaminu: rejestrowanie, przechowywanie, udostępnianie;

6) Procedura ochrony danych osobowych w ramach funkcjonowania dziennika elektronicznego w Szkoła Podstawowa nr 1 im. Jana Kowalskiego w Warszawie - niniejsza procedura;

7) RODO - należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L Nr 119, str. 1);

8) Użytkowniku - każdej osobie przetwarzającej z upoważnienia administratora, dane osobowe w dzienniku elektronicznym (nauczyciele, pracownicy obsługi) lub osobie otrzymującej dostęp do wydzielonego konta w dzienniku elektronicznym (rodzic/opiekun prawny, uczeń).

Rozdział III. Dostęp nauczycieli i pracowników obsługi do danych osobowych przechowywanych w dzienniku elektronicznych

1. Dostęp nauczycieli i pracowników obsługi do danych osobowych przetwarzanych w dzienniku elektronicznym następuje wyłącznie w celach wynikających ze stosunku prawnego łączącego pracownika z Administratorem, tj. realizacji umowy o pracę lub innego stosunku prawnego.

2. Nie jest dopuszczalne przetwarzanie danych osobowych w dzienniku elektronicznym w celu prywatnym, w tym kopiowanie danych osobowych rodziców lub uczniów, informacji podawanych przez rodziców w komunikacji z nauczycielem, treści korespondencji lub wniosków. Dane osobowe przetwarzane w dzienniku elektronicznym mogą stanowić dane osobowe szczególnej kategorii, co wiąże się z wymogiem ich podwyższonej ochrony.

3. Nie jest dopuszczalne ujawnianie informacji, o których mowa w ust. 2 osobom nieuprawnionym, w tym domownikom lub współpracownikom lub rodzicom, których dziecka ocena nie dotyczy.

4. Dostęp do dziennika elektronicznego jest przypisany konkretnym użytkownikom w określonym celu. Nie jest dopuszczalne ujawnianie loginów i haseł do dziennika osobom nieuprawnionym, także wskazanym w ust. 3 powyżej. Nie jest dopuszczalne ujawnianie sposobów budowy i zabezpieczenia hasła. Każdy użytkownik zobowiązany jest do cyklicznej zmiany hasła. Wybrane hasło powinno być unikalnej, tj. nie powinno być stosowane przez użytkownika w innych miejscach.

5. Każdy użytkownik dziennika elektronicznego zobowiązany jest do ochrony loginu i hasła zapewniającego dostęp do dziennika i zabezpieczenia go przed zniszczeniem lub utratą.

6. Dostęp rodziców do danych osobowych przetwarzanych w dzienniku elektronicznym następuje wyłącznie w zakresie dotyczącym ich dziecka/dzieci.

Rozdział IV. Ochrona danych osobowych, przechowywanych w dzienniku elektronicznym, podczas pracy

1. Każdy pracownik obowiązany jest do ochrony danych osobowych w miejscu pracy; należy pamiętać o konieczności wylogowania się w przypadku opuszczenia stanowiska pracy i sprawowania nadzoru nad sprzętem, w ramach którego następuje dostęp do dziennika elektronicznego.

2. Nauczyciel i pracownik obsługi zobowiązany jest do ochrony sprzętu, poprzez który uzyskuje dostęp do dziennika elektronicznego. W przypadku, gdy w pobliżu nauczyciela przebywa uczeń lub inna osoba nieuprawniona do wglądu w dane w dzienniku, należy tak ustawić sprzęt (komputer, laptop), aby uniemożliwić wgląd w treść danych osobowych w dzienniku.

3. Nauczyciel i pracownik obsługi sprawdza po każdym logowaniu prawidłowość informacji o poprzednim logowaniu do dziennika w ramach jego konta, w razie stwierdzenia nieprawidłowości, informuje o tym administratora i IOD.

4. Nauczyciele i pracownicy obsługi przetwarzają dane osobowe w ramach wykonywanych czynności w czasie obecności w placówce obejmującym godziny ich pracy w danym dniu.

Rozdział V. Udostępnianie informacji o ocenach

1. Oceny stanowią dane osobowe i podlegają ujawnieniu wyłącznie osobom uprawnionym.

2. Nie jest dopuszczalne ujawnianie informacji o ocenach osobom nieuprawnionym, tj. domownikom, współpracownikom, innym rodzicom (których dzieci ocena nie dotyczy).

3. Nie jest dopuszczalne wykonywanie zdjęć, zrzutów ekranu lub innego utrwalenia informacji o ocenie ucznia celem przekazania go osobie nieuprawnionej. Dotyczy to także umieszczania informacji o ocenach we wszelkich miejscach poza dziennikiem elektronicznym (np. na grupach w komunikatorach typu Messenger, w prywatnej komunikacji przy użyciu komunikatora typu WhatsApp, w wiadomościach sms, w korespondencji na [email protected] rodzica).

4. Nie jest dopuszczalne przesyłanie lub inne ujawnianie przez nauczycieli zbiorczych informacji o ocenach. Oceny uczniów publikowane są w dzienniku elektronicznych na ich indywidualnych kontach, w sposób zapewniający ochronę danych osobowych.

Rozdział VI. Prowadzenie korespondencji z użytkownikami

1. Treść korespondencji z rodzicami (opiekunami prawnymi) podlega ochronie prawnej (m.in. z uwagi na ujawnienie w jej ramach danych osobowych rodzica lub ucznia lub innych informacji, np. informacji o stanie zdrowia).

2. Nie jest dozwolone kopiowanie (np. poprzez wykonanie zdjęcia, zrzutu ekranu) celem pokazania treści korespondencji osobom nieuprawnionym.

3. Dotyczy to także umieszczania treści korespondencji we wszelkich miejscach poza dziennikiem elektronicznym (np. na grupach w komunikatorach typu Facebook, w prywatnej komunikacji przy użyciu komunikatora typu Signal, w wiadomościach sms, w korespondencji na [email protected] rodzica).

4. Nie jest dopuszczalne przechowywanie treści korespondencji poza dziennikiem elektronicznym, na własnym sprzęcie (komputer, laptop) lub zewnętrznych nośnikach danych.

Rozdział VII. Zasady korzystania przez pracowników ze sprzętu prywatnego w celu uzyskania dostępu do danych osobowych w dzienniku elektronicznym

1. Dostęp pracowników do danych osobowych przetwarzanych w ramach dziennika elektronicznego powinien nastąpić wyłącznie przy użyciu sprzętu służbowego, stanowiącego własność Administratora, przez niego przygotowanego i zabezpieczonego.

2. Nie jest dopuszczalne korzystanie ze sprzętu prywatnego (np. smartfon) w celu dostępu do danych osobowych w dzienniku elektronicznym.

3. W wyjątkowych, szczególnie uzasadnionych przypadkach, możliwe jest uzyskanie dostępu do dziennika elektronicznego na prywatnym sprzęcie pracownika (telefon komórkowy), za zgodą administratora wyrażoną w formie pisemnej. W takim przypadku użytkownik zobowiązuje się w formie pisemnej do ochrony danych osobowych przetwarzanych w ramach dziennika na zasadach określonych w niniejszej Procedurze, z uwzględnieniem wskazanych w niej zakazów przechowywania, kopiowania i ujawniania danych osobowych (w tym treści korespondencji) poza aplikacją przeznaczoną do prowadzenia dziennika elektronicznego.

4. W przypadku korzystania ze sprzętu prywatnego w celu dostępu do dziennika elektronicznego pracownik zobowiązuje się do nieprzechowywania kopii danych osobowych (ocen, treści korespondencji) poza aplikacją, o której mowa w ust. 2 powyżej.

5. Administrator może wprowadzić dodatkowe warunki zgody na używanie sprzętu prywatnego w celu dostępu do aplikacji przeznaczonej do prowadzenia dziennika elektronicznego, np. potwierdzenie stosowania określonych zabezpieczeń (kod dostępu do telefonu), stosowanie uwierzytelniania dwuskładnikowego.

Rozdział VIII. Dostęp rodziców i uczniów do dziennika elektronicznego

1. Każdy rodzic lub opiekun prawny oraz uczeń posiada indywidualne konto w dzienniku elektronicznym. Dostęp do konta następuje w celu uzyskania informacji o ocenach i zachowaniu dziecka, monitorowania jego postępów i prowadzenia związanej z tym komunikacji.

2. Rodzic (opiekun prawny) uczeń zobowiązany jest do ochrony przydzielonego mu loginu i hasła na zasadach określonych w Rozdziale III.

3. Rodzic (opiekun prawny) jest odpowiedzialny za swoje konto w dzienniku elektronicznym, nie jest dozwolone udostępnianie konta (poprzez dane dostępowe) dziecku ani osobom nieuprawnionym.

4. Rodzic (opiekun prawny) zobowiązuje się do ochrony danych osobowych, do których uzyskuje dostęp w ramach dziennika elektronicznego, co potwierdza w formie pisemnej. Rodzic (opiekun prawny) zabezpiecza wgląd w publikowane w dzienniku treści przed osobami nieuprawnionymi, także przy korzystaniu ze sprzętu (laptop, tablet) za pośrednictwem którego następuje wgląd w miejscach publicznych.

5. Rodzic (opiekun prawny) zgłasza dyrekcji i IOD utratę hasła lub podejrzenie jego uzyskania przez osoby nieuprawnione.

Rozdział IX. Inspektor Ochrony Danych

1. Wszelkie wątpliwości związane z dopuszczalnością określonych działań w dzienniku elektronicznym należy zgłosić do IOD.

2. Pracownik, który utracił (np. zgubił) login lub hasło do dziennika elektronicznego, niezwłocznie zgłasza ten fakt do IOD. Obowiązek zgłoszenia do IOD dotyczy wszelkich incydentów, które mogą stanowić naruszenia ochrony danych. Należy w takich przypadkach postępować zgodnie z obowiązującymi w tym zakresie regulacjami wewnętrznymi administratora.

Rozdział X. Obowiązywanie procedury i jej zmiany

1. Procedura wchodzi w życie z dniem 01.09.2023 r.

2. Zmiany Procedury po ich wprowadzeniu, będą udostępniane użytkownikom przetwarzającym dane osobowe w dzienniku elektronicznym.

3. Każdy użytkownik potwierdza w formie pisemnej zapoznanie się z niniejszą Procedurą.