Dokumentacja w poradniach psychologiczno-pedagogicznych
Dokumentacja w poradniach psychologiczno-pedagogicznych – zasady prowadzenia i przetwarzania danych. Ostatecznie sprawą zajął się Prezes Urzędu Ochrony Danych Osobowych, jak czytamy w Komunikacie opublikowanym na stronach UODO.
Według informacji UODO ...
cyt.:”(…)Urząd Ochrony Danych Osobowych dostrzegając od wielu lat lukę prawną w dostosowaniu regulacji dotyczących działalności poradni psychologiczno-pedagogicznych do przepisów ogólnego rozporządzenia o ochronie danych (RODO) wystąpił do Ministra Edukacji i Nauki o systemowe zmiany w przepisach prawa. Obecnie Prawo oświatowe oraz akty wykonawcze do tej ustawy zapewniają jedynie fragmentaryczną ochronę danych osobowych zawartych w dokumentacji prowadzonej przez poradnie.(…)”.
cyt.:”(…)W celu udzielenia pomocy psychologiczno-pedagogicznej poradnie przetwarzają dane osobowe zarówno uczniów i ich rodziców, jak i nauczycieli czy psychologów udzielających pomocy. W prowadzonej dokumentacji są zebrane dane zwykłe w postaci imienia i nazwiska, adresu zamieszkania, a także szczególne kategorie danych osobowych. Te drugie to informacje m.in. o stanie zdrowia, ujawniające przekonania religijne czy światopoglądowe, a więc informacje wymagające szczególnej ochrony. Zdaniem UODO dokumentacja prowadzona przez poradnie, niezależnie od tego, czy jest w formie papierowej, czy elektronicznej, powinna być chroniona przy zapewnieniu wysokich standardów bezpieczeństwa.(…)”.
Problemów jest kilka ...
cyt.:”(…)Obecne przepisy nie zapewniają kompleksowego uregulowania zasad działania tego typu poradni. Ponadto nie regulują procesów związanych z przetwarzaniem danych zawartych w dokumentacji, a są to m.in.: kwestie związane ze źródłami pozyskania danych osobowych, prowadzenia dokumentacji, zakresem informacji, jaki jest w niej gromadzony,. Dodatkowo nie są uregulowane kwestie związane z dostępem podmiotów do danych zawartych w tych dokumentach. Kluczowym problemem jest brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom.(…)”.
Ocena skutków dla ochrony danych ...
cyt.:”(…)UODO w wystąpieniu skierowanym do Ministra Edukacji i Nauki podkreślił, że przetwarzanie danych osobowych zawartych w dokumentacji wytwarzanej przez poradnie psychologiczno-pedagogiczne powinno zostać głęboko przeanalizowane z punktu widzenia zgodności z zasadami określonymi w RODO. Analiza taka przynosi realne korzyści, ponieważ pozwala projektodawcom dostrzec procesy, które powinny ulec zmianie. Zawsze należy pamiętać, aby odpowiednio wyważyć procesy związane z przetwarzaniem danych osobowych z prywatnością osób, których dane dotyczą. Zaprojektowanie ochrony danych osobowych a często także dokonanie oceny skutków dla ochrony danych osobowych pozwoli podczas tworzenia prawa ocenić, czy występują luki lub niespójności z obecnie obowiązującymi przepisami.(…)”.
Zgodność z zasadami RODO ...
cyt.:”(…)Każde przetwarzanie danych osobowych musi być zgodne z zasadami przyjętymi w RODO. Dane osobowe muszą być przede wszystkim przetwarzane zgodnie z prawem (zasada legalizmu). Obecnie, jeśli chodzi o przetwarzanie danych w dokumentacji prowadzonej przez poradnie psychologiczno-pedagogiczne, zauważano brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom. Zdaniem UODO, należy rozważyć objęcie takiej dokumentacji prawnie chronioną tajemnicą, podobnie jak w przypadku dokumentacji medycznej, m.in. ze względu na przetwarzane w niej zróżnicowanych danych, jakimi są także dane szczególnej kategorii.(…)”.
Diagnoza "zgodoza" ...
cyt.:”(…)Organ nadzorczy zwrócił także uwagę, że obecne regulacje w postaci rozporządzenia Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych stanowią, iż wniosek o wydanie opinii lub orzeczenia przez poradnie zawiera oświadczenie wnioskodawcy o wyrażeniu zgody na przetwarzanie danych osobowych. Biorąc pod uwagę status podmiotów (podmioty publiczne i niepubliczne realizujące zadania publiczne), jak również charakter realizowanych przez nich zadań jako administratorów danych, to podstawy przetwarzania przez nich szczególnej kategorii danych osobowych powinny wynikać z przepisów ustawy zapewniających odpowiednie gwarancje ochrony danych osobowych, a nie być kształtowane wyłącznie w oparciu o zgodę, o której mowa w art. 9 ust. 2 lit. a) rozporządzenia 2016/679, która w każdym momencie może być wycofana, a jej wycofanie niesie określone konsekwencje prawne.(…)”.
Dokumentacja w poradniach psychologiczno-pedagogicznych
Zgodnie z § 6 ust. 2 pkt. 1 Rozporządzenie Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych (Dz.U. 2017 poz. 1743).
cyt.: „(…)Wniosek o wydanie orzeczenia lub opinii zawiera także: (…) oświadczenie wnioskodawcy o wyrażeniu zgody na przetwarzanie danych osobowych, o której mowa w art. 23 ust. 1
pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), w celu wydania orzeczenia lub opinii;(…)”.
Zgoda z Ustawy z 1997r. ...
A może to tylko błąd ...
Czy w takim razie nie ma tutaj zastosowania przepis następujący po ustawie 1997r.? Adekwatnie do art. 23 ust. 1 pkt. 1 starej ustawy o ochronie danych osobowych w RODO jest art. 6 ust. 1 lit. a), który brzmi:
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
Przepis ten nie można jednać czytać w oderwaniu od definicji zgody, która opisana jest w art. 4 pkt. 11) RODO: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
Ustawa z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U.2021.0.1082) [Art. 127. ust. 10.]
Opinie o potrzebie wczesnego wspomagania rozwoju dziecka oraz orzeczenia o potrzebie kształcenia specjalnego albo indywidualnego obowiązkowego rocznego przygotowania przedszkolnego i indywidualnego nauczania, a także o potrzebie zajęć rewalidacyjno-wychowawczych organizowanych zgodnie z przepisami o ochronie zdrowia psychicznego wydają zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych, w tym w poradniach specjalistycznych. Orzeczenie o potrzebie kształcenia specjalnego określa zalecane formy kształcenia specjalnego, z uwzględnieniem rodzaju niepełnosprawności, w tym stopnia niepełnosprawności intelektualnej. Minister rozporządzeniem może ukształtować zakres danych jakie poradnia powinna żądać od wnioskodawcy w celu wydania opinii, a nie wskazać warunek przetwarzania danych osobowych określony w art. 6 ust. 1 RODO. Stanowi to swoistą sprzeczność z tym co prawodawca unijny wskazał w art. 6 ust. 2 i 3 RODO.
Warto również zwrócić uwagę, iż ustawodawca wskazał w art. 127 ust. 18 UPO zakres kompetencji ministra oraz cel wydania takiego rozporządzenia:
„Minister właściwy do spraw oświaty i wychowania określi, w drodze rozporządzenia, skład zespołów orzekających, tryb ich powołania, szczegółowe zasady działania tych zespołów, tryb postępowania odwoławczego oraz wzory orzeczeń i opinii o potrzebie wczesnego wspomagania rozwoju dziecka. Rozporządzenie powinno uwzględniać jak najpełniejszą realizację potrzeb dziecka lub ucznia, a także zapewnić możliwość dostosowania form wychowania przedszkolnego, form kształcenia oraz działań w ramach wczesnego wspomagania rozwoju dziecka, do aktualnych możliwości psychofizycznych dziecka lub ucznia.”.
Autor: Mariusz Stasiak vel Stasek
Komunikat UODO z dnia 29.09.2021 [Dostępny dnia 29.02.2021r., godz.: 15:00]
Cyberbezpieczeństwo w szkole ... warsztaty szkolniowe
- Podczas szkolenia, jakie przygotowuję dla Państwa wspólnie z portalem PTR, mowa będzie o bieżących zagrożeniach w cyberbezpieczeństwie, które znacząco nasiliły się z uwagi na pandemię i masowy rozwój zdalnej pracy.
- Na szkoleniu w szczególności skupię się na tzw. czynniku ludzkim i metodzie najpopularniejszego rodzaju ataku hackerskiego na świecie jakim jest phishing. Atak ten nie tylko jest najpopularniejszy, ale również najbardziej skuteczny (pewnie dlatego jest najpopularniejszy). Haker nie musi być wybitnym specjalistą z zakresu informatyki, a jedynie dobrym socjotechnikiem i korzystać z gotowych rozwiązań.
- Przeprowadzę również symulację kilku ataków hakerskich wzorując się na rzeczywistych sytuacjach jakie miały miejsce w Polsce, dwie główne symulacje będą dotyczyć:
- ataku hakerskiego bez użycia złośliwego oprogramowania
- ataku hakerskiego z użyciem złośliwego oprogramowania
- Oczywiście symulacje będą dotyczyć scenek sytuacyjnych, a nie przeprowadzenia rzeczywistego ataku na żadną instytucję (ponieważ to nielegalne).
- Na koniec szkolenia wskażę w jaki sposób bronić się przed takimi atakami i podam kilka zasad cyberhigieny.
Formularz oceny i aktualizacji standardów ochrony małoletnich
Formularz oceny i aktualizacji standardów ochrony małoletnich Obowiązek oceny i aktualizacji standardów ochrony małoletnich – dnia 15 lutego 2024r., weszła
Rekomendowane środki organizacyjne i techniczne dla IT
Rekomendowane środki organizacyjne i techniczne dla IT
Kompendium wiedzy praktycznej zawierające konkretne propozycje rozwiązań w obszarze stosowania środków organizacyjny i technicznych dla zabezpieczenia systemu teleinformatycznego, z równoczesnym określeniem celów stosowania rekomendowanych rozwiązań jak i ryzyk związanych z brakiem ich stosowania.
Autor: Bartosz Świąć
Format: Edytowalny MS Word
Ilość stron: 172 str.
Dokumentacja RODO dla KSeF
Dokumentacja RODO dla KSeF
Pakiet dokumentów dedykowanych dla przedsiębiorców oraz IOD przygotowujący do wdrożenia rozwiązań jakie niesie za sobą wejście w życie przepisów dotyczących Krajowego Systemu e-Faktur
Pakiet dokumentów zawiera:
- Kompletny wpis do RCPD / „Obsługa Krajowego Systemu eFaktur”
- Procedurę privacy by design oraz privacy by default:
- Etap I – arkusz informacyjny ocenianego procesu
- Etap II – interpretacja zebranych informacji / określenie obowiązków prawnych
- Etap III – analiza ryzyka / ocena ryzyka
- Etap IV – ocena skutków dla ochrony danych / DPIA
Klauzula Informacyjna RODO oraz Wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Klauzula Informacyjna RODO oraz Wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Pakiet dokumentów zawiera:
- Wzór – Klauzuli Informacyjnej RODO dla osób składających wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej.
- Wzór – Wniosku o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Dokumentacja do Oceny Ryzyka
Dokumentacja do Oceny Ryzyka
Przygotowaliśmy dla Państwa wzorcowy pakiet dokumentów pozwalających na przeprowadzenie analizy ryzyka w organizacji oraz jej udokumentowanie. Pakiet dokumentów składa się z części opisowej, w której szczegółowo opisana została metodologia realizacji procesu oceny ryzyka oraz z arkusza kalkulacyjnego. Arkusza kalkulacyjnego, w którym to dokonywana jest analiza i ocena ryzyka.
Autor: mgr Magdalena Waszak
Format: Word / Excell
Edycja: Pliki edytowalne
Wysyłka: bezpośrednio po zaksięgowaniu wpłaty
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji …
Korzystając z przygotowanych przez nas materiałów istotnie przyspieszają Państwo proces opracowania i wdrożenia kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji w zarządzanej Organizacji. Dodatkowo w sytuacji, w której to organ prowadzący chciałby narzucić dla zarządzanej przez Państwa organizacji własne rozwiązania, jesteście Państwo przygotowani na taką sytuację. Analogicznie, w sytuacji audytu realizowanego w ramach działań organu nadrzędnego, zyskują Państwo materiały istotne z punktu widzenia działań audytowych. Nie należy także ukrywać, iż przygotowana przez nas dokumentacja, może przyspieszyć i usprawnić pracę audytorom, czy też inspektorom ochrony danych, którzy mogą z rożnych względów stać się realizatorami działań w obszarze przygotowania do wdrożenia projektów zapisów Dokumentacji SZBI.
Warianty do wyboru …
- Pakiet (1) Dokumentacja SZBI
- Pakiet (2) Dokumentacja SZBI + Ocena Ryzyka w bezpieczeństwie Informacji
Dokumentacja SZBI zgodna z NIS2 …
Oczywiście przygotowując Dokumentację SZBI opracowaliśmy ją zgodnie z wymogami jakie wynikają z treści Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
Procedura dokonywania zgłoszeń wewnętrznych
Procedura dokonywania zgłoszeń wewnętrznych dla podmiotu prawnego
W związku z faktem uchwalenia Ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów opracowaliśmy dokumentację zawierającą procedury związane z obsługa zgłoszeń wewnętrznych dedykowane dla podmiotu medycznego.
Kto ma obowiązek opracowania procedury dokonywania zgłoszeń wewnętrznych
Obowiązek przygotowania i wdrożenia dokumentacji na gruncie ww. Ustawy o ochronie sygnalistów mają podmioty prawne na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Uwaga jednak do liczby 50 osób wykonujących pracę zarobkową wlicza się zarówno pracowników w przeliczeniu na pełne etaty oraz wlicza się osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.
Termin na opracowanie i wdrożenie procedur dokonywania zgłoszeń
Podmioty prawne zobowiązane na mocy Ustawy o ochronie sygnalistów mają termin do 25 września 2024 r. na opracowanie i wdrożenie dokumentacji.
Pakiet dokumentów zawiera
- Procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych.
- Potwierdzenie:
- dokonania konsultacji z organizacją związkową celem ustalenia procedury zgłoszenia wewnętrznego
- dokonania konsultacji z przedstawicielem załogi celem ustalenia procedury zgłoszenia wewnętrznego
- Wzór:
- informacji o podaniu do wiadomości osób wykonujących pracę procedury zgłoszeń wewnętrznych
- informacja dla osób ubiegających się o pracę / rekrutacja / negocjacje umowy – o procedurze zgłoszeń wewnętrznych
- rejestru zgłoszeń wewnętrznych
- upoważnienia do podejmowania działań następczych i przetwarzania danych osobowych
- upoważnienia do weryfikacji zgłoszeń wewnętrznych i przetwarzania danych osobowych
- transkrypcji rozmowy z linii nagrywanej / z linii nie nagrywanej w ramach której doszło do zgłoszenia wewnętrznego
- wniosek sygnalisty o zorganizowanie bezpośredniego spotkania celem dokonania ustnego zgłoszenia wewnętrznego
- zgłoszenia wewnętrznego
- protokołu ze zgłoszenia wewnętrznego dokonanego ustnie
- oświadczenia sygnalisty o wyrażeniu zgody na ujawnienie jego danych osobowych
- karta weryfikacji zgłoszenia wewnętrznego
- informacji zwrotnej dla osoby sygnalisty wraz ze schematem pytań i odpowiedzi pozwalających na ocenę zgłoszenia
- protokół ze zniszczenia danych osobowych zebranych przypadkowo
- protokół ze zniszczenia danych związanych ze zgłoszeniem (retencja)
- RCPD
- Klauzula Informacyjna art. 13 RODO
- Klauzula Informacyjna art. 14 RODO
- i inne.
Forma dokumentu: dokumenty edytowalne
Czas realizacji: przed terminem 25 września 2024r.
Autor: dr Jakub Rzymowski
Autor: mgr Dominik Spałek
Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
W skład pakiety wchodzą następujące dokumenty:
- Omówienie przepisów – wprowadzenie do tematu
- Oświadczenie – o jakim mowa w art. 21 ust. 7 Lex Kamilek / braku skazania
- Oświadczenie – o jakim mowa w art. 21 ust. 5 Lex Kamilek / państwa zamieszkania
Procedura użytkowania zewnętrznych nośników danych
Procedura użytkowania zewnętrznych nośników danych
Procedura opisuje zasady / powierzania / korzystania / zabezpieczania / testowania / przechowywania / niszczenia / przenośnych pamięci danych wykorzystywanych w pracy personelu administratora danych osobowych. Procedura użytkowania zewnętrznych nośników danych zawiera także zestaw zakazanych praktyk, wskazując na konkretne ryzyka, jakie wynikają z ich nieprzestrzegania, w szczególności w obszarze cyberbezpieczeństwa.
Pakiet dokumentów zawiera:
- Procedura użytkowania zewnętrznych nośników danych
- Materiał edukacyjny / cyberbezpieczeństwo w pracy z urządzeniami elektornicznymi
- Ankieta inwentaryzacyjno / ewaluacyjna
- Umowa użytkowania służbowego nośnika danych
- Protokół przekazania nośnika danych