Procedura ochrony danych osobowych w dzienniku elektronicznym

Procedura ochrony danych osobowych w ramach funkcjonowania dziennika elektronicznegow Szkole Podstawowej nr 10 im. Jana Kochanowskiego w Warszawie

Rozdział I.Zakres podmiotowy i przedmiotowy Procedury

1. Postanowieniami Procedury ochrony danych osobowych w ramach funkcjonowania dziennika elektronicznego w Szkole Podstawowej nr 10 im. Jana Kochanowskiego w Warszawie, zwanej dalej Procedurą, objęci są wszyscy pracownicy wykonujący określone czynności w dzienniku elektronicznym, w tym nauczyciele, pedagodzy, a także każda osoba, która uzyska dostęp do dziennika elektronicznego w celu wykonywania w nim określonych czynności związanych z przetwarzaniem danych osobowych (np. rodzice, uczeń w dotyczących ich zakresie)

2. Procedura określa zasady ochrony danych osobowych przetwarzanych (w tym przechowywanych) w dzienniku elektronicznym prowadzonym w Szkole Podstawowej nr 10 im. Jana Kochanowskiego w Warszawie, w tym zasady ich przechowywania, udostępniania i prowadzenia korespondencji z użytkownikami.

3. Procedura ma zastosowanie do informacji przetwarzanych w dzienniku elektronicznym i stanowiących jednocześnie dane osobowe, zgodnie z definicją wskazaną w Rozdziale II., przetwarzanych przez pracowników Administratora, zgodnie z nadanym upoważnieniem, w celu realizacji obowiązków służbowych, a także, we właściwym zakresie, rodziców oraz uczniów.

4. W dzienniku elektronicznym przetwarzane są takie dane osobowe, jak: imię i nazwisko uczniów i rodziców, ich dane kontaktowe, tj. adres zamieszkania, numer telefonu rodziców, adres poczty elektronicznej, informacje o ocenach, informacje dotyczące zdrowia (w ramach dokumentacji medycznej lub podawane w treści korespondencji), inne dane osobowe ujawnione w treści korespondencji z rodzicami.

Rozdział II.Podstawowe pojęcia

Ilekroć w Procedurze jest mowa o:

1) Administratorze – należy przez to rozumieć Szkołę Podstawową nr 10 im. Jana Kochanowskiego w Warszawie;

2) Danych osobowych – należy przez to rozumieć wszelkie informacje o osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, PESEL, dane lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczne, fizjologiczne, genetyczne, psychiczne, ekonomiczne, kulturowe lub społeczne cechy osoby fizycznej;

3) Danych osobowych szczególnych kategorii – należy przez to rozumieć dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne lub przynależność związkową oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

4) IOD – należy przez to rozumieć Inspektora Ochrony Danych, powoływanego przez Administratora na podstawie art. 37 RODO;

5) Przetwarzaniu – należy przez to rozumieć operację lub zestaw operacji określonych w art. 4 pkt 2) RODO, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; w szczególności, w odniesieniu do niniejszego regulaminu: wprowadzanie, modyfikowanie, usuwanie, przeglądanie danych osobowych w dzienniku elektronicznym;

6) Procedura ochrony danych osobowych w ramach funkcjonowania dziennika elektronicznego w Szkole Podstawowej nr 10 im. Jana Kochanowskiego w Warszawie, - niniejsza procedura;

7) RODO – należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016);

8) Użytkowniku – każdej osobie przetwarzającej z upoważnienia administratora, dane osobowe w dzienniku elektronicznym (nauczyciel, pedagog) lub osobie otrzymującej dostęp do wydzielonego konta w dzienniku elektronicznym (rodzic, uczeń).

Rozdział III.Dostęp nauczycieli i pedagogów do danych osobowych przechowywanychw dzienniku elektronicznym

1. Dostęp nauczycieli i pedagogów do danych osobowych przetwarzanych w dzienniku elektronicznym następuje wyłącznie w celach wynikających ze stosunku prawnego łączącego pracownika z Administratorem, tj. realizacji umowy o pracę lub innego stosunku prawnego.

2. Nie jest dopuszczalne przetwarzanie danych osobowych w dzienniku elektronicznym w celach prywatnych, w tym kopiowanie danych osobowych rodziców lub uczniów, informacji podawanych przez rodziców w komunikacji z nauczycielem, treści korespondencji lub załączników. Dane osobowe przetwarzane w dzienniku elektronicznym mogą stanowić dane osobowe szczególnej kategorii, co wiąże się z wymogiem ich podwyższonej ochrony.

3. Nie jest dopuszczalne ujawnianie informacji, o których mowa w ust. 2 osobom trzecim, w tym osobom postronnym lub osobom nieupoważnionym lub rodzicom, których dziecka ocena nie dotyczy.

4. Dostęp do dziennika elektronicznego jest przypisany użytkownikowi w celach służbowych. Nie jest dopuszczalne ujawnianie loginu i hasła do dziennika osobom trzecim, także wskazanym w ust. 3 powyżej. Nie jest dopuszczalne ujawnianie informacji o haśle. Każdy użytkownik zobowiązany jest do okresowej zmiany hasła. Wybrane hasło powinno być silne, tj. nie powinno być stosowane przez użytkownika w innych miejscach.

5. Każdy użytkownik dziennika elektronicznego zobowiązany jest do ochrony loginu i hasła zapewniającego dostęp do dziennika i zabezpieczenia go przed utratą lub kradzieżą.

6. Dostęp rodziców do danych osobowych przetwarzanych w dzienniku elektronicznym następuje wyłącznie w zakresie dotyczącym ich dziecka.

Rozdział IV.Ochrona danych osobowych, przechowywanych w dzienniku elektronicznym, podczas pracy

1. Każdy pracownik obowiązany jest do ochrony danych osobowych w miejscu pracy; należy pamiętać o konieczności wylogowania się w przypadku opuszczenia stanowiska pracy i sprawowania nadzoru nad sprzętem komputerowym, w ramach którego następuje dostęp do dziennika elektronicznego.

2. Nauczyciel i pedagog zobowiązany jest do ochrony sprzętu komputerowego, poprzez który uzyskuje dostęp do dziennika elektronicznego. W przypadku, gdy w pobliżu nauczyciela przebywa uczeń lub inna osoba nieupoważniona do wglądu w dane w dzienniku, należy tak ustawić monitor komputera (monitor, ekran laptopa), aby uniemożliwić wgląd w treść danych osobowych w dzienniku.

3. Nauczyciel i pedagog sprawdza po każdym logowaniu prawidłowość informacji o poprzednim logowaniu do dziennika w ramach jego konta, w razie stwierdzenia nieprawidłowości, informuje o tym administratora systemu i IOD.

4. Nauczyciel i pedagog przetwarzają dane osobowe w ramach wykonywanych czynności w czasie obecności w szkole obejmującym godziny pracy w danym dniu.

Rozdział V.Udostępnianie informacji o ocenach

1. Oceny stanowią dane osobowe i podlegają ujawnieniu wyłącznie osobom upoważnionym.

2. Nie jest dopuszczalne ujawnianie informacji o ocenach osobom nieupoważnionym, tj. innym ucznikom, osobom postronnym, innym rodzicom (których dziecko ocena nie dotyczy).

3. Nie jest dopuszczalne wykonywanie zdjęć, zrzutów ekranu lub innego utrwalenia informacji o ocenach uczniów celem przekazania go osobom nieupoważnionym. Dotyczy to także umieszczania informacji o ocenach we wszelkich miejscach poza dziennikiem elektronicznym (np. na grupie w komunikatorze Messenger, w komunikacji przy użyciu komunikatora WhatsApp, w wiadomości SMS, w korespondencji na adres e-mail rodziców).

4. Nie jest dopuszczalne przesyłanie lub inne ujawnianie przez nauczyciela informacji o ocenach poza dziennikiem. Oceny uczniów publikowane są w dzienniku elektronicznym na ich kontach, w sposób zapewniający ochronę danych osobowych.

Rozdział VI.Prowadzenie korespondencji z użytkownikami

1. Treść korespondencji z rodzicami podlega ochronie prawnej (m.in. z uwagi na ujawnienie w jej ramach danych osobowych rodziców lub uczniów lub innych informacji wrażliwych, np. informacji o stanie zdrowia).

2. Nie jest dozwolone kopiowanie (np. poprzez wykonanie zdjęcia, zrzutu ekranu) celem pokazania treści korespondencji osobom nieupoważnionym.

3. Dotyczy to także umieszczania treści korespondencji we wszelkich miejscach poza dziennikiem elektronicznym (np. na grupie w komunikatorze Messenger, w komunikacji przy użyciu komunikatora WhatsApp, w wiadomości SMS, w korespondencji na adres e-mail rodziców).

4. Nie jest dopuszczalne przechowywanie treści korespondencji poza dziennikiem elektronicznym, na sprzęcie prywatnym (komputer, telefon) lub nośniku danych (pendrive).

Rozdział VII.Zasady korzystania przez pracowników ze sprzętu prywatnego w celu uzyskania dostępu dodanych osobowych w dzienniku elektronicznym

1. Dostęp nauczyciela do danych osobowych przetwarzanych w ramach dziennika elektronicznego powinien nastąpić wyłącznie przy użyciu sprzętu komputerowego, stanowiącego własność Administratora, przez niego przygotowanego i zabezpieczonego.

2. Nie jest dopuszczalne korzystanie ze sprzętu prywatnego (np. laptop, telefon komórkowy) w celu dostępu do danych osobowych w dzienniku elektronicznym.

3. W sytuacjach wyjątkowych, możliwe jest uzyskanie dostępu do dziennika elektronicznego na sprzęcie prywatnym nauczyciela (laptop), za zgodą administratora wyrażoną w formie pisemnej. W takim przypadku użytkownik zobowiązuje się w formie pisemnej do ochrony danych osobowych przetwarzanych w ramach dziennika na zasadach określonych w niniejszej Procedurze, z uwzględnieniem wskazanych w niej zakazów przechowywania, kopiowania i ujawniania danych osobowych (w tym treści korespondencji) poza aplikacją przeznaczoną do prowadzenia dziennika elektronicznego.

4. W przypadku korzystania ze sprzętu prywatnego w celu dostępu do dziennika elektronicznego nauczyciel zobowiązuje się do nieprzechowywania kopii danych osobowych (ocen, treści korespondencji) poza aplikacją, o której mowa w ust. 2 powyżej.

5. Administrator może wprowadzić dodatkowe warunki udzielenia zgody na używanie sprzętu prywatnego w celu dostępu do aplikacji przeznaczonej do prowadzenia dziennika elektronicznego, np. warunki dotyczące oprogramowania antywirusowego (bezpieczeństwo), szyfrowania dysku. [alternatywą jest brak dostępu do dziennika z urządzeń prywatnych, stosownie do decyzji administratora – w takim przypadku należy usunąć punkty 2-4]

Rozdział VIII.Dostęp rodziców i uczniów do dziennika elektronicznego

1. Każdy rodzic oraz uczeń posiada konto w dzienniku elektronicznym. Dostęp do konta następuje w celu uzyskania informacji o ocenach i zachowaniu dziecka, monitorowania jego postępów i prowadzenia komunikacji ze szkołą.

2. Rodzic ucznia zobowiązany jest do ochrony przydzielonego mu loginu i hasła na zasadach określonych w Rozdziale III.

3. Rodzic jest odpowiedzialny za swoje konto w dzienniku elektronicznym, nie jest dozwolone udostępnianie konta (poprzez dane dostępowe) dziecku ani innym osobom.

4. Rodzic zobowiązuje się do ochrony danych osobowych, do których uzyskuje dostęp w ramach dziennika elektronicznego, co potwierdza w formie oświadczenia. Rodzic zabezpiecza wgląd w publikowane w dzienniku treści przed osobami nieupoważnionymi, także przy korzystaniu ze sprzętu prywatnego (komputer, telefon) za pośrednictwem którego następuje wgląd w miejscach publicznych.

5. Rodzic zgłasza dyrekcji szkoły i IOD utratę hasła lub podejrzenie nieautoryzowanego dostępu do konta.

Rozdział IX.Inspektor Ochrony Danych

1. Wszelkie wątpliwości związane z dopuszczalnością działań w dzienniku elektronicznym należy zgłosić do IOD.

2. Nauczyciel, który utraci login lub hasło do dziennika elektronicznego, zgłasza ten fakt do IOD. Obowiązek zgłoszenia do IOD dotyczy wszelkich incydentów, które mogą stanowić naruszenie ochrony danych osobowych. Należy w takich przypadkach postępować zgodnie z obowiązującymi w tym zakresie regulacjami administratora.

Rozdział X.Obowiązywanie procedury i jej zmiany

1. Procedura wchodzi w życie z dniem 01.09.2023 r.

2. Zmiany Procedury po ich wprowadzeniu, będą udostępniane użytkownikom przetwarzającym dane osobowe w dzienniku elektronicznym.

3. Każdy użytkownik potwierdza w formie oświadczenia zapoznanie się z niniejszą Procedurą.