Ochrona danych osobowych w oświacie. poradnik dla administratorów oraz inspektorów ochrony danych (Wolters Kluwer Polska SA)

Tytuł Ochrona informacji osobowych w oświacie. Poradnik dla administratorów i inspektorów ochrony informacji Autorzy Anna Pielok, Piotr Sojka Język polski Wydawnictwo Wolters Kluwer Polska SA ISBN 978-83-8223-070-3 seria Poradniki ABC EDU Rok wydania 2020 liczba stron 243 Format pdf Spis treści Wykaz skrótów | str. 13

Przedmowa | str. 15

Wstęp | str. 17

Rozdział I
Administrator, podmiot przetwarzający i odbiorca danych osobowych w jednostkach oświatowych | str. 21
1. Administrator | str. 21
2. Podmiot przetwarzający | str. 23
3. Inny administrator jako odbiorca danych | str. 23

Rozdział II
Zasady przetwarzania informacji osobowych | str. 25
1. Zasada zgodności z prawem, rzetelności i transparentności | str. 25
2. Zasada ograniczenia celu | str. 26
3. Zasada minimalizacji danych | str. 27
4. Zasada prawidłowości danych | str. 29
5. Zasada ograniczenia przechowywania | str. 30
6. Zasada nierozłączności i tajności informacji | str. 31
7. Zasada rozliczalności | str. 32

Rozdział III
Podstawy przetwarzania danych osobowych | str. 33
1. Zgoda osoby, której dane dotyczą | str. 33
2. Umowa | str. 37
3. Wypełnianie obowiązku prawnego ciążącego na administratorze | str. 37
4. Przetwarzanie danych osobowych w celu wykonania zadania publicznego realizowanego w interesie publicznym albo w ramach władzy publicznej powierzonej administratorowi | str. 40
5. Realizacja celów wynikających z prawnie uzasadnionych interesów administratora | str. 41
6. Przetwarzanie danych osobowych szczególnych kategorii | str. 42

Rozdział IV
Prawa osób, których informacje dotyczą | str. 45
1. Prawo do informacji (art. 13 RODO) | str. 45
1.1. Administrator (art. 13 ust. 1 lit. A RODO) | str. 46
1.2. Inspektor ochrony informacji (art. 13 ust. 1 lit. B RODO) | str. 46
1.3. Cel, a także podstawa prawna przetwarzania informacji osobowych (art. 13 ust. 1 lit. C RODO) | str. 47
1.4. Odbiorcy informacji (art. 13 ust. 1 lit. E RODO) | str. 47
1.5. Informacje o zamiarze przekazywania informacji osobowych do państwa trzeciego (art. 13 ust. 1 lit. F RODO) | str. 49
1.6. Okres przetwarzania informacji osobowych (art. 13 ust. 2 lit. A RODO) | str. 50
1.7. Prawa osób, których informacje dotyczą (art. 13 ust. 2 lit. B RODO) | str. 51
1.8. Prawo do cofnięcia zgody (art. 13 ust. 2 lit. C RODO) | str. 52
1.9. Prawo do wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. D RODO) | str. 52
1.10. Przetwarzanie jako wymóg ustawowy, umowny albo warunek zawarcia umowy | str. 53
1.11. Automatyczne podejmowanie decyzji, w tym profilowanie (art. 13 ust. 2 lit. F RODO) | str. 53
2. Prawo do informacji (art. 13 RODO) w zamówieniach publicznych | str. 54
3. Prawo do informacji (art. 13 RODO) w postępowaniu administracyjnym | str. 55
4. Prawo do danych (art. 14 RODO) | str. 56
5. Prawo do danych (art. 14 RODO) w zamówieniach publicznych | str. 57
6. Prawo do informacji (art. 14 RODO) w nowoczesnaniu administracyjnym | str. 57
7. Prawo dostępu do danych (art. 15 RODO) | str. 58
8. Prawo dostępu do informacji w zamówieniach publicznych... 59
9. Prawo dostępu do danych w nowoczesnaniu administracyjnym | str. 60
10. Prawo do sprostowania danych (art. 16 RODO) | str. 61
11. Prawo do sprostowania informacji osobowych w zamówieniach publicznych | str. 63
12. Prawo do usunięcia informacji (art. 17 RODO) | str. 63
13. Prawo do ograniczenia przetwarzania (art. 18 RODO) | str. 65
14. Prawo do ograniczenia przetwarzania w zamówieniach publicznych | str. 66
15. Prawo do przenoszenia danych (art. 20 RODO) | str. 67
16. Prawo do sprzeciwu (art. 21 RODO) | str. 67
17. Prawo do sprzeciwu w zamówieniach publicznych | str. 68
18. Prawo do niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu (art. 22 RODO) | str. 68

Rozdział V
Inspektor ochrony danych w jednostkach oświatowych | str. 70
1. Wyznaczenie inspektora ochrony danych | str. 70
2. Zadania i status inspektora ochrony informacji | str. 72

Rozdział VI
Polityka bezpieczeństwa informacji | str. 74
1. Podstawy prawne opracowania dokumentu | str. 74
2. Określenie użytych pojęć w polityce bezpieczeństwa | str. 75
3. Zakres polityki bezpieczeństwa informacji | str. 76
4. Zasady przetwarzania informacji osobowych | str. 76
5. Nadawanie upoważnień i uprawnień do przetwarzania informacji osobowych | str. 76
6. Udostępnianie i powierzanie informacji osobowych | str. 78
7. Realizacja praw osób, których dane dotyczą | str. 79
8. Szkolenia z zakresu ochrony informacji osobowych | str. 79
9. Nowoczesnanie w przypadku wystąpienia incydentu albo naruszenia informacji osobowych | str. 80
10. Sprawdzenie zgodności przetwarzania informacji osobowych z obowiązującymi przepisami | str. 81
11. Zakresy zadań i odpowiedzialności osób biorących udział w przetwarzaniu danych osobowych | str. 81
12. Procedury przetwarzania informacji osobowych w systemie informatycznym | str. 82

Rozdział VII
Rejestr czynności i kategorii czynności przetwarzania informacji osobowych | str. 84
1. Rejestr czynności przetwarzania | str. 84
2. Rejestr wszystkich kategorii czynności przetwarzania | str. 91

Rozdział VIII
Powierzenie przetwarzania danych osobowych | str. 93
1. Wybór podmiotu przetwarzającego (art. 28 ust. 1 RODO) | str. 94
2. Zgoda na przekazanie informacji innemu podmiotowi przetwarzającemu (art. 28 ust. 2 RODO) | str. 94
3. Umowa powierzenia przetwarzania informacji zgodnie z art. 28 ust. 3 RODO | str. 95

Rozdział IX
Współadministrowanie danymi osobowymi | str. 103

Rozdział X
Monitoring wizyjny | str. 109
1. Konsultacje | str. 110
2. Informowanie osób, których dane są przetwarzane | str. 114

Rozdział XI
Upoważnienie do przetwarzania danych osobowych i oświadczenie o zachowaniu poufności | str. 116
1. Upoważnienie do przetwarzania danych szczególnej kategorii w kadrach | str. 117
2. Upoważnienie do przetwarzania informacji o skazaniach w zamówieniach publicznych | str. 118
3. Upoważnienie do przetwarzania informacji osobowych szczególnej kategorii w ramach zakładowego funduszu świadczeń socjalnych | str. 118
4. Oświadczenie o zachowaniu prywatności | str. 118

Rozdział XII
Podejście oparte na ryzyku | str. 120
1. Szacowanie ryzyka | str. 123
1.1. Kontekst | str. 124
1.2. Analiza ryzyka | str. 125
1.2.1. Zakres analizy | str. 126
1.2.2. Identyfikacja celów | str. 127
1.2.3. Identyfikacja zasobów | str. 127
1.2.4. Ocena zasobów – różnicowanie wartości | str. 128
1.2.5. Identyfikacja podatności zasobów | str. 129
1.2.6. Identyfikacja zagrożeń | str. 129
1.3. Analiza zagrożeń | str. 130
1.4. Propozycje zabezpieczeń | str. 130
1.5. Określanie poziomu ryzyka | str. 131
1.5.1. Prawdopodobieństwo wystąpienia zagrożenia | str. 131
1.5.2. Ocena skutków zagrożenia | str. 132
1.5.3. Obliczenie poziomu ryzyka dla zasobów | str. 133
1.5.4. Ryzyko operacyjne | str. 134
1.6. Plan postępowania z ryzykiem | str. 134
1.7. Innowacyjnanie z ryzykiem nieakceptowalnym | str. 135
1.8. Akceptacja ryzyka | str. 135
2. Ocena skutków przetwarzania | str. 137
3. Prywatność domyślna i prywatność na etapie projektowania | str. 141
4. Zarządzanie incydentami | str. 141

Rozdział XIII
Szacowanie ryzyka naruszenia praw i wolności osób w związku z przetwarzaniem danych osobowych w placówce oświatowej krok po kroku | str. 145
1. Kontekst | str. 146
2. Identyfikacja przetwarzań i zasobów | str. 146
3. Identyfikacja podatności i zagrożeń | str. 150
4. Analiza ryzyka | str. 152
5. Ocena ryzyka i opracowanie planu progresywnania z ryzykiem | str. 159
6. Wdrożenie i monitorowanie planu innowacyjnania z ryzykiem | str. 160

Rozdział XIV
Szacowanie ryzyka – przykład wykorzystania | str. 161
1. Kontekst | str. 161
2. Identyfikacja przetwarzań i zasobów | str. 163
3. Identyfikacja podatności i zagrożeń | str. 168
4. Analiza ryzyka | str. 187
5. Plan progresywnania z ryzykiem | str. 194

Rozdział XV
Ocena skutków dla ochrony danych | str. 195
1. Kontekst | str. 196
2. Dane, procesy, aktywa | str. 198
3. Podstawowe zasady | str. 201
4. Środki ochrony praw osób, których dane dotyczą | str. 203
5. Analiza ryzyka | str. 205
6. Opinia inspektora ochrony informacji – podsumowanie | str. 206

Rozdział XVI
Stałe monitorowanie wdrożonych zabezpieczeń | str. 208

Rozdział XVII
Uwzględnienie ochrony danych w fazie projektowania i domyślna ochrona danych | str. 213

Rozdział XVIII
Zarządzanie incydentami | str. 218
1. Kontekst | str. 218
2. Rejestr incydentów | str. 220
3. Progresywnanie z incydentem | str. 220
4. Procedura zarządzania incydentami | str. 221

Rozdział XIX
Naruszenia ochrony informacji osobowych | str. 224
1. Wariant informacji (RD) | str. 225
2. Skutki naruszenia (SN) | str. 226
3. Zakres danych (ZD) | str. 227
4. Sposób innowacyjnania (SR) | str. 227
5. Ocena wagi naruszenia | str. 227
6. Zawiadomienie organu nadzorczego | str. 228
7. Zawiadomienie osób, których dane dotyczą | str. 228
8. Rejestr naruszeń | str. 230

Rozdział XX
Przepływ danych między placówką oświatową a organem prowadzącym i organem sprawującym nadzór pedagogiczny | str. 233
1. Organizacja i finansowanie zadań dydaktyczno-wychowawczych (arkusz organizacyjny) | str. 233
2. Audyty i kontrole | str. 235

Wykaz aktów prawnych | str. 237

Bibliografia | str. 239

Wykaz tabel | str. 241

O Autorach | str. 243