Witam!
Czy moglibyście udzielić wskazówek dotyczących zastosowania RODO w prowadzeniu stron www przez jednostki edukacyjne: informacje na stronie, powierzenie danych itp.? Mam na myśli to, co ma przedsięwziąć np. szkoła, aby prowadzenie strony www, BIP było zgodne z obowiązującymi przepisami.

Pozdrawiam
JB

BIP to jedno a RODO to drugie.
RODO - Strona powinna mieć
Regulamin serwisu
Politykę prywatności
Politykę cookies
w dokumentach powinno zostać wskazane, kto jest administratorem danych, jak dane są gromadzone i do czego wykorzystywane.
W przypadku rejestrowania użytkowników zewnętrznych, należy posiadać konieczność potwierdzenia zgody na przetwarzanie danych, możliwość zgłoszenia naruszeń,zgłoszenia wycofywania zgody i usunięcia danych z systemu.

LOL, zapaliło się i poszło :) https://niebezpiecznik.pl/post/pierwszy-urzad-w-polsce-dostaje-kare-za-rodo/

Pytanie niby proste ale wcale tak nie jest a odpowiedź... jest warta kilka tysięcy zł. Tak, tak bowiem to jest doradztwo z zakresu RODO. Ale jako, że jesteśmy tutaj kolegami to wskażę kilka ważnych kwestii:


0. Szkoła ma obowiązek powołać Inspektora Ochrony Danych - i tutaj nie ma dyskusji. Osoba ta powinna dalej wskazać i zadbać aby wszystko było zgodne z RODO. Administrator www (a przypuszczam, że nim jesteś) powinien jedynie wykonać polecenia i nie martwić się o nic więcej. IOD musi zostać zgłoszony do UODO.

1. Szkoła powinna stworzyć i wdrożyć Politykę Ochrony Danych (dotyczyć ma wszystkich aspektów ochrony danych w szkole, nie tylko strony ww czy BIP), to dokument wewnętrzny więc nie musi być publikowany na stronie
2. Musi przygotować Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania
3. Musi opracować klauzule informacyjne ale te muszą być dopasowane do konkretnych sytuacji, nie da się zrobić jednej uniwersalnej a następnie spełnić obowiązek informacyjny
...
Sporo innych kroków które muszą objąć nauczycieli i klasy ale tym powinien się zając IOD
...
10. Co do samej strony internetowej to
- osoba prowadząca stronę będzie przetwarzać dane osobowe więc musi być odpowiednio przeszkolona i podpisać oświadczenie o zapoznaniu się z przepisami oraz być upoważniona do nieprzetwarzania
- powinna zadbać by jeśli strona znajduje się na zewnętrznym serwerze to podpisać umowę o powierzenie przetwarzania danych osobowych z firma hostującą, serwisującą lub utrzymującą usługę
- jeśli BIP jest w jakiejś zewnętrznej aplikacji to taka umowa z nimi również być musi
- na stronie powinna się znaleźć Polityka Prywatności która spełnia rolę klauzuli informacyjnej https://muzeum.szczecin.pl/polityka-prywatnosci.html
- na stronie może znaleźć się (można ja połączyć z Polityką) informacja o cookies: https://muzeum.szczecin.pl/cookie-pl.html
- strona powinna być zabezpieczona protokołem HTTPS (certyfikat SSL) zwłaszcza jeśli pozwala się do strony logować.
- strona może powinna mieć regulamin jako, że jest usługą
- korzystanie ze strony internetowej jest usługa więc nie wymaga zgody na przetwarzanie danych osobowych
- powinieneś mieć informację pokazującą się użytkownikowi, która informuje o wykorzystaniu cookie, to czy trzeba je akceptować to kwestia złożona - zależy jakie dane są tam gromadzone i w jakim celu
- dokumenty na BIP, jeśli zawierają dane osób fizycznych nie pełniące funkcji publiczne (dane nie-urzedników) powinny zostać anonimizowane

oraz to co pisze terra;





W przypadku rejestrowania użytkowników zewnętrznych, należy posiadać konieczność potwierdzenia zgody na przetwarzanie danych, możliwość zgłoszenia naruszeń,zgłoszenia wycofywania zgody i usunięcia danych z systemu.

Oczywiście szkoła ma obowiązki, dla strony to bardzo wyśrubowana wersja :), ale nie zaszkodzi

Nom, zacznijcie od Inspektora Ochrony Danych... ale go powinniście mieć już od maja 2018 roku. Nie mogę uwierzyć, że go nie macie. on/ona powinien dać wytyczne co do strony... juz daaawno temu.

Pytanie niby proste ale wcale tak nie jest a odpowiedź... jest warta kilka tysięcy zł. Tak, tak bowiem to jest doradztwo z zakresu RODO. Ale jako, że jesteśmy tutaj kolegami to wskażę kilka ważnych kwestii:
"Dzięki w imieniu służby":up:. Wskazówki cenne. Dzięki w swoim imieniu i innych czytających i poszukujących.



Szkoła ma obowiązek powołać Inspektora Ochrony Danych - i tutaj nie ma dyskusji. Osoba ta powinna dalej wskazać i zadbać aby wszystko było zgodne z RODO. Administrator www (a przypuszczam, że nim jesteś) powinien jedynie wykonać polecenia i nie martwić się o nic więcej. IOD musi zostać zgłoszony do UODO.
Inspektora mamy przydzielonego z "urzędu", ale na ile jest "obcykany" w temacie internetu, to nie wiem. Ostatnio, po znanej aferze, dyrektor dostał pismo z zapytaniem, jak wygląda sprawa prowadzenia BIP-u, umowy powierzenia danych itp. Generalnie nikt nie wskazywał nam na jakieś błędy, ale dopytać się, jak się sam teraz przekonuję, warto.


Szkoła powinna stworzyć i wdrożyć Politykę Ochrony Danych
To chyba jest zrobione, bo IOD kontrolował szkołę. Pojawiło się kilka zaleceń, nie było tragedii.

Temat mnie bardziej interesuje z punktu administrowania stroną, bo tym się zajmuję.
Jak to wygląda u mnie:

1.
strona może powinna mieć regulamin jako, że jest usługą - ale czy musi, co miałby zawierać skoro strona pełni tylko funkcję informacyjną
2. jestem jedyną osobą logującą się do systemu. czy w związku z tym powinienem podpisać dyrektorowi oświadczenie, że ewentualne dane osobowe nie będą przez mnie przetwarzane poza czynnościami związanymi z administrowaniem, czyli publikowaniem ich na stronie?
3. nie są rejestrowani żadni inni użytkownicy, więc to co napisał terra nie ma chyba zastosowania
4. na stronie pojawiają się dane uczniów w postaci ich imienia i nazwiska - takie informacje nie stanowią danych osobowych; problem może pojawić się chyba wtedy, gdy dane te powiązane będą z wizerunkiem (foto) - to już stanowi możliwość identyfikacji. W takim przypadku rodzice podpisują na początku roku szkolnego zgodę na wykorzystanie wizerunku w celach informacyjnych szkoły. Pod tym kątem patrząc to jakaś informacja powinna być już gdzieś na stronie (Polityka prywatności?) wzór po adaptacji dla szkoly np. https://landingi.com/pl/blog/rodo-polityka-prywatnosci-wzor-dokumentu-omowienie
4. BIP będzie przeniesiony na szablon, który można pobrać z Kuźni Dostępnych Stron; BIP jest/będzie na tym samym serwerze, co strona. W związku z tym, tak myślę, w umowie powierzenia danych z firmą hostingową powinien znaleźć się punkt dotyczący BIP.
5.
powinieneś mieć informację pokazującą się użytkownikowi, która informuje o wykorzystaniu cookie, to czy trzeba je akceptować to kwestia złożona - zależy jakie dane są tam gromadzone i w jakim celu nie wiem do czego mogłyby posłużyć na szkolnej stronie cookies. Żadne dane nie są nam potrzebne. Ale może w polityce coś trzeba by napisać. W tej chwili na stronie nie wyświetla się żaden komunikat dot. cookies.
6. SSL wiadomo

Sorki za kaleczne może wyjaśnienia i pytania, ale w szkołach nie ma kasy na szkolenia. Nie słyszałem, żeby jakiś samorząd wsparł administratorów szkolnych stron wwww w tych tematach. Tacy ludzie muszą pytać (na szczęście jest gdzie i KOGO) i swoimi kanałami zdobywać informację. Swoją drogą przypominam sobie moment, kiedy wprowadzali RODO i dyrektorów zostawiono (tak przynajmniej wyglądało to z mojej perspektywy) samym sobie. Macie opracować wszystkie dokumenty i tyle. Podobnie jest z administratorami stron.

Wielkie DZIĘKI za cenne wskazówki. Dużo się dowiedziałem.
JB

- ale czy musi, co miałby zawierać skoro strona pełni tylko funkcję informacyjną

Musi, każda usługa musi być świadczona na podstawie czegoś.


2. jestem jedyną osobą logującą się do systemu. czy w związku z tym powinienem podpisać dyrektorowi oświadczenie, że ewentualne dane osobowe nie będą przez mnie przetwarzane poza czynnościami związanymi z administrowaniem, czyli publikowaniem ich na stronie?
3. nie są rejestrowani żadni inni użytkownicy, więc to co napisał terra nie ma chyba zastosowania

Zarządzasz stroną więc przetwarzasz dane osobowe tych których dane umieszczasz na stronie. Musisz być przeszkolony z zakresu RODO, mieć upoważnienie i podpisać stosowne oświadczenie. Tym powinien się zająć IOD.


4. na stronie pojawiają się dane uczniów w postaci ich imienia i nazwiska - takie informacje nie stanowią danych osobowych;

Imię i nazwisko to są dane osobowe! Art. 4 ust. 1 RODO:


„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;


problem może pojawić się chyba wtedy, gdy dane te powiązane będą z wizerunkiem (foto)

Foto jest daną osobową tylko jeśli zostało wykonane w specjalny sposób (biometryka) tutaj chodzi o wizerunek który jest dobrem osobistym (prawa autorskie). Chociaż nawet bez biometryki foto może pozwolić na identyfikację osoby.


zgodę na wykorzystanie wizerunku w celach informacyjnych szkoły.

Jak wizerunek może posłużyć w celach informacyjnych? :) Pewnie po prostu zgodę na wykorzystanie wizerunku :)


Pod tym kątem patrząc to jakaś informacja powinna być już gdzieś na stronie (Polityka prywatności?)

Podesłałem Ci przykład z mojej instytucji. Zaadaptuj go do swojego przypadku.


4. BIP będzie przeniesiony na szablon, który można pobrać z Kuźni Dostępnych Stron; BIP jest/będzie na tym samym serwerze, co strona. W związku z tym, tak myślę, w umowie powierzenia danych z firmą hostingową powinien znaleźć się punkt dotyczący BIP.

Nie, po prostu zawierasz umowę na powierzenie przetwarzania danych osobowych na całym serwerze, nie wyszczególniasz stron czy usług które tam masz.


nie wiem do czego mogłyby posłużyć na szkolnej stronie cookies. Żadne dane nie są nam potrzebne. Ale może w polityce coś trzeba by napisać. W tej chwili na stronie nie wyświetla się żaden komunikat dot. cookies.

A statystyki? Google Analitics? Zanim zignorujesz ta sprawę sprawdź swoją stronę czy zapisuje pliki cookie: https://www.cookiemetrix.com/
Joomla może domyślnie tworzyć cookies. Lub jakiś twój dodatek na stronie.

Nie ma sprawy, dobrze jest pomagać innym :) Zawsze pytaj jak by co.

Musi, każda usługa musi być świadczona na podstawie czegoś.

Kilka stronek szkół widziałem, na żadnej żadnego regulaminu. Mało kto, albo nawet nikt, chyba wie o tym, o czym piszesz.




Zarządzasz stroną więc przetwarzasz dane osobowe tych których dane umieszczasz na stronie. Musisz być przeszkolony z zakresu RODO, mieć upoważnienie i podpisać stosowne oświadczenie.
Jestem ciekaw, ilu ze szkolnych administratorów ma spisany taki dokument? Możemy zabawić się w obstawianie.


Imię i nazwisko to są dane osobowe! Art. 4 ust. 1 RODO:

W tym temacie już chyba jest jasne.




Jak wizerunek może posłużyć w celach informacyjnych? Pewnie po prostu zgodę na wykorzystanie wizerunku

Bezwzględna racja. Tak to jest, jak coś się zatnie i pojawia się problemu w przekładaniu myśli na słowo pisane/mówione. :up:




Podesłałem Ci przykład z mojej instytucji. Zaadaptuj go do swojego przypadku.
Dzięki wielkie!!! Będzie trzeba nad tym popracować :up:




Zanim zignorujesz ta sprawę sprawdź swoją stronę czy zapisuje pliki cookie: https://www.cookiemetrix.com/
Zrobiłem teścik. Dostałem miły komunikat "This page could be comply with EU Cookie Law", ale dla pewności powinienem to sprawdzić z odpowiednim specjalistą z zakresu prawa. :D


Tym powinien się zająć IOD.
I to jest najbardziej important kwestia. Tu też może moglibyśmy zabawić się w obstawianie, kto miał jakieś szkolenie w tej kwestii. Chętnie bym poznał:). Może Ty, siristru, jeśli jeszcze masz ździebko cierpliwości, podesłałbyś może jakieś wytyczne, które można by w oficjalnym piśmie skierować do IOD, aby przygotował jakieś szkolenie w tej kwestii. Jesteś w temacie, a ja, i wielu innych, coraz bardziej wiem, ile nie wiem. A może chciałbym wiedzieć?:) To co wiem, to głównie dzięki Tobie i forum.


Nie ma sprawy, dobrze jest pomagać innym
Są jeszcze dobrzy ludzie na tym świecie:up:

Dzięki i pozdrowionka
JB

I to jest najbardziej important kwestia. Tu też może moglibyśmy zabawić się w obstawianie, kto miał jakieś szkolenie w tej kwestii. Chętnie bym poznał. Może Ty, siristru, jeśli jeszcze masz ździebko cierpliwości, podesłałbyś może jakieś wytyczne, które można by w oficjalnym piśmie skierować do IOD, aby przygotował jakieś szkolenie w tej kwestii. Jesteś w temacie, a ja, i wielu innych, coraz bardziej wiem, ile nie wiem. A może chciałbym wiedzieć? To co wiem, to głównie dzięki Tobie i forum.

Jestem Inspektorem ochrony Danych w mojej instytucji :) Nie czekałem aż osoby się do mnie zgłoszą tylko robiłem audyty w każdym dziale. Tam rejestrowałem zbiory danych, wyznaczałem obszary przetwarzania danych sprawdzałem stopień realizacji Polityki Ochrony Danych i innych powiązanych dokumentów oraz wyznaczałem osoby do szkolenia. Identyfikowałem wraz z kierownikiem działu kto będzie przetwarzał dane osobowe. I osoby te muszą przejść szkolenie. Szkolenie obecnie prowadzę w formie elektronicznej. Mam zbudowana platformę do RODO: zawiera szkolenia w postaci 4 kursów (+ dowody szkolenia), zbiór dokumentów, rejestr czynności i kategorii przetwarzania etc.

W dobrze funkcjonującej instytucji tak powinno być - IOD powinien aktywnie włączać się w ochronę danych. Nie, ze pracownicy muszą sami prosić się o szkolenia, upoważnienia etc. Moim zdanie wystarczy półoficjalnie zgłosić IOD, ze w ramach wykonywanych obowiązków służbowych przetwarzasz dane osobowe. W związku z tym zbiór na którym pracujesz (strona internetowa powinna być zarejestrowana) a Ty powinieneś posiadać odpowiednie szkolenie i upoważnienie.

Jeśli idzie o upoważnienia to mogą to być dokumenty papieru ale wolę już nie mnożyć papieru więc mail lub odnotowanie w systemie IMHO wystarczy.

Jestem Inspektorem ochrony Danych w mojej instytucji Nie czekałem aż osoby się do mnie zgłoszą tylko robiłem audyty w każdym dziale. Tam rejestrowałem zbiory danych, wyznaczałem obszary przetwarzania danych sprawdzałem stopień realizacji Polityki Ochrony Danych i innych powiązanych dokumentów oraz wyznaczałem osoby do szkolenia. Identyfikowałem wraz z kierownikiem działu kto będzie przetwarzał dane osobowe. I osoby te muszą przejść szkolenie. Szkolenie obecnie prowadzę w formie elektronicznej. Mam zbudowana platformę do RODO: zawiera szkolenia w postaci 4 kursów (+ dowody szkolenia), zbiór dokumentów, rejestr czynności i kategorii przetwarzania etc.

Pełna profeska!!! Szacunek i gratulacje! Tylko pozazdrościć.

Dzięki za wszystkie uwagi i wskazówki. :up:
JB