• RODO

        • Klauzula informacyjna RODO dotycząca przetwarzania danych osobowych w związku z realizacją nauczania
          w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19 w Przedszkolu Samorządowym nr2  w Pcimiu

          Zgodnie z art. 13 ust. 1 i ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych- - dalej „RODO” Dyrektor placówki informuje, że

          Tożsamość Administratora

          Administratorem podanych danych jest:

          Przedszkole Samorządowe nr 2  w Pcimiu , 32-432 Pcim 564.

          Dane kontaktowe Administratora

          z Dyrektorem – mgr Agatą Hodurek można się skontaktować pod numerem telefonu: (12) 274 80 38 na adres e-mail przedszkola: przedszkole.nr2@o2.pl

          Dane kontaktowe Inspektora Ochrony Danych

          nr tel. 500 512 636 e-mail: kdybel508@gmail.com

          Cele przetwarzania i podstawa prawna

          Pana/i dane osobowe przetwarzane będą w celu:

          1. wypełnienia obowiązku prawnego ciążącego na Administratorze w związku z realizowaniem zadań przez placówkę na podstawie art. 6 ust. 1 lit. c i art. 9 ust. 2 lit. b Rozporządzenia RODO np.:
          • Ustawa z dnia 14 grudnia 2016 r. prawo oświatowe,
          • Ustawa z dnia 15 kwietnia 2011 r. o systemie informacji oświatowej,
          • Rozporządzenie MEN z dnia 29 sierpnia 2014r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
          • Rozporządzenie Ministra Edukacji Narodowej z dnia 26.04.2018r. w sprawie świadectw, dyplomów państwowych i innych druków szkolnych.
          • Zarządzenie nr 6a/ 2020 Dyrektora Przedszkola Samorządowego nr 2 w Pcimiu w sprawie nauczania zdalnego.
          • Art. 3. [Praca zdalna], Art. 28.[Prawo oświatowe] Ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych1) .
          • Rozporządzenie Ministra Edukacji Narodowej1) z dnia 20 marca 2020 r. zmieniające rozporządzenie w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.
          • Rozporządzenie Ministra Edukacji Narodowej1) z dnia 25 marca 2020 r. zmieniające rozporządzenie w sprawie szczególnych rozwiązań w okresie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.
          1. wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi w związku z realizowaniem zadań przez placówkę na podstawie art. 6 ust. 1 lit. e Rozporządzenia RODO;
          • Art. 10d.Ustawy z dnia 8 marca 1990 r. o samorządzie gminnym [Uprawnienie jednostki obsługującej do przetwarzania danych osobowych] Jednostka obsługująca jest uprawniona do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnych do wykonywania zadań w ramach wspólnej obsługi tej jednostki.

           

          3) w celach określonych każdorazowo w przekazywanych formularzach zgody na podstawie art. 6 ust. 1 lit. a i art. 9. ust. 2 lit. a Rozporządzenia RODO;

          4) w celach niezbędnych do zawarcia lub realizacji umowy na podstawie art. 6 ust. 1 lit. b.

          5) w celu ochrony żywotnych interesów osoby, której dane dotyczą na podstawie art. 6 ust. 1 lit. d i art. 9. ust. 2 lit. c Rozporządzenia RODO;

          Odbiorcy danych

          Podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa,

          podmioty, które przetwarzają dane osobowe w imieniu Administratora, na podstawie zawartej umowy powierzenia przetwarzania danych osobowych .

          Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej

          Dane osobowe nie będą przekazywane do państwa trzeciego /organizacji międzynarodowej.

          Okres przechowywania danych

          Dane osobowe uczniów będą przechowywane przez okres nauki w placówce a po tym czasie przez okres oraz w zakresie wymaganym przez przepisy obowiązującego prawa, np.  arkusze organizacyjne – 25 lat, dzienniki - 5 lat, organizacja nauki religii 25 lat, w przypadku przetwarzania na podstawie zgody –5 lat.Dane osobowe dzieci przetwarzane podczas nauczania zdalnego będą przechowywane przez okres 5 lat od dezaktywacji konta FB.

          Prawa podmiotów danych

          Osobom, których dotyczy przetwarzanie danych osobowych w placówce przysługuje prawo dostępu do treści danych oraz ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo sprzeciwu, żądanie zaprzestania przetwarzania i przenoszenia danych oraz przypadku gdy przetwarzanie danych osobowych odbywa się na podstawie zgody osoby na przetwarzanie danych osobowych, prawo do cofnięcia zgody
          w danym momencie, (cofnięcie to nie ma wpływu na zgodność przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, z obowiązującym prawem) oraz prawo do wniesienia skargi do organu nadzorczego – Prezes Urzędu Ochrony Danych Osobowych- na zasadach z art.15-21 Rozporządzenia RODO.Wskazane żądania mogą być wnoszone pisemnie na adres Administratora lub adres Inspektora Ochrony Danych wskazany powyżej.

          Informacja o dowolności lub obowiązku podania danych

          Podanie przez Państwa danych osobowych, w tym danych osobowych dzieci jest wymogiem ustawowym określonym przepisami ustawy z dnia 14 grudnia 2016r. Prawo oświatowe i każdy rodzic/opiekun prawny ubiegający się o przyjęcie jego dziecka do przedszkola /szkoły do ich podania. W przypadku gdy przetwarzanie danych osobowych odbywa się na podstawie zgody od osoby, której dane dotyczą, podanie danych osobowych jest dobrowolne jednak niezbędne do realizacji celu, w którym te dane są z zbierane.

          Zautomatyzowane podejmowanie decyzji

          Administrator nie będzie podejmował wobec osób, których dane przetwarza zautomatyzowanych decyzji,
          w tym decyzji będących wynikiem profilowania.

           

           

          1.Klauzula informacyjna dla kandydatów (nabór uczniów) w placówkach oświatowych Gminy Pcim.

          Treść klauzuli

          Sposób wprowadzenia

          Informacja dla Uczniów i opiekunów prawnych

          Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuje się, iż:

          1) administratorem danych osobowych kandydatów jest Przedszkole Samorządowe nr 2 w Pcimiu

          2) dane osobowe przetwarzane będą w celu realizacji naboru, zgodnie z Ustawą z dnia 7 września 1991 r. o systemie oświaty, na podstawie Art. 6 ust. 1 lit. c ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

          3) dane osobowe przechowywane będą w czasie zgodnym z przepisami w/w Ustawy

          4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa

          5) każdy kandydat posiada prawo do dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania

          6) kandydat ma prawo wniesienia skargi do organu nadzorczego

          7) podanie danych osobowych jest obowiązkowe ze względu na przepisy prawa

          8) kontakt z Inspektorem Ochrony Danych – Krzysztof Dybeł, tel:500512636, mail:pio508@interia.pl

           

          - Na stronie www gdzie rejestrują się kandydaci

          - Na formularzu, który składają w szkole kandydaci

          - na ogólnej stronie placówki

          - na tablicy informacyjnej w placówce

           

           

          2. Klauzula informacyjna dla uczniów i opiekunów prawnych w placówkach oświatowych Gminy Pcim.

          Treść klauzuli

          Sposób wprowadzenia

          Informacja dla Uczniów/opiekunów prawnych

          Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuje się, iż:

          1) administratorem danych osobowych uczniów jest Przedszkole Samorządowe nr 2 w Pcimiu

          2) dane osobowe przetwarzane będą w celu realizacji zadań dydaktycznych, wychowawczych i opiekuńczych, zgodnie z Ustawą z dnia 7 września 1991 r. o systemie oświaty, na podstawie Art. 6 ust. 1 lit. c ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

          3) dane osobowe przechowywane będą w czasie zgodnym z przepisami w/w Ustawy

          4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa

          5) każdy uczeń posiada prawo do dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub odwołania uprzednio udzielonej zgody

          6) uczeń ma prawo wniesienia skargi do organu nadzorczego

          7) podanie danych osobowych jest obowiązkowe ze względu na przepisy prawa

          8) kontakt z Inspektorem Ochrony Danych - Krzysztof Dybeł, tel:500512636, mail:pio508@interia.pl

           

          - Na wniosku o przyjęcie ucznia do szkoły

          -  Na szkolnej tablicy ogłoszeń

          - Na głównej stronie internetowej placówki

           

           

           

          Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych w Przedszkolu Samorządowym nr 2 w Pcimiu.

          Istota naruszenia danych osobowych

          § 1

          Incydentem w zakresie danych osobowych jest sytuacja powodująca utratę poufności, integralności lub dostępności przetwarzanych danych.

          Naruszeniem danych osobowych jest każdy stwierdzony fakt nieuprawnionego ujawnienia danych, udostępnienia lub umożliwienia dostępu do nich osobom nieupoważnionym, zabrania danych przez osobę nieupoważnioną, uszkodzenia jakiegokolwiek elementu systemu informatycznego,
          a w szczególności:

          - nieautoryzowany dostęp do danych,

          - nieautoryzowane modyfikacje lub zniszczenie danych,

          - udostępnienie danych nieautoryzowanym podmiotom,

          - nielegalne ujawnienie danych,

          - pozyskiwanie danych z nielegalnych źródeł.

          Postępowanie w przypadku naruszenia danych osobowych

          § 2

          1. Każdy pracownik, który stwierdzi lub podejrzewa fakt naruszenia danych osobowych, jest zobowiązany niezwłocznie zgłosić to swojemu bezpośredniemu przełożonemu. Przełożony zgłasza fakt Inspektorowi ochrony danych.
          2. Typowe sytuacje, gdy użytkownik powinien powiadomić Inspektora ochrony danych:
            1. ślady na drzwiach, oknach i szafach wskazują na próbę włamania;
            2. dokumentacja jest niszczona bez użycia niszczarki;
            3. fizyczna obecność w budynku lub pomieszczeniach osób zachowujących się podejrzanie;
            4. otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe, stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdjęciach, płytach CD w formie niezabezpieczonej itp.
            5. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na informacjach służbowych w celach prywatnych,
            6. ustawienie monitorów pozwala na wgląd osób postronnych w dane osobowe;
            7. wynoszenie danych osobowych w wersji papierowej lub elektronicznej na zewnątrz firmy bez upoważnienia;
            8. udostępnienie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej;
            9. stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji);
            10. telefoniczne próby wyłudzenia danych osobowych;
            11. kradzież komputerów lub twardych dysków z danymi osobowymi;
            12. utrata kontroli nad kopią danych osobowych;
            13. maile zachęcające do ujawnienia identyfikatora i/lub hasła;
            14. pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów;
            15. istnienie nieautoryzowanych kont dostępu do danych lub tzw. "bocznej furtki"
            16. hasła do systemów przechowywane są w pobliżu komputera.

          § 3

          Każdy pracownik, który stwierdzi fakt naruszenia danych osobowych ma obowiązek podjąć czynności niezbędne do powstrzymania skutków naruszenia ochrony oraz zabezpieczyć dowody umożliwiające ustalenie przyczyn oraz skutków naruszenia .

          § 4

          W przypadku stwierdzenia naruszenia bezpieczeństwa danych należy zaniechać wszelkich działań mogących utrudnić analizę wystąpienia naruszenia i udokumentowanie zdarzenia oraz nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Inspektora ochrony danych lub innej osoby upoważnionej przez Administratora danych.

          § 5

          Administrator Systemu Informatycznego jest zobowiązany do informowania Inspektora ochrony danych o wszelkich anomaliach w pracy administrowanych przez siebie urządzeń, mogących być przyczyną lub skutkiem incydentu w zakresie danych osobowych.

          § 6

          Inspektor ochrony danych podejmuje następujące kroki:

          - zapoznaje się z zaistniałą sytuacją i wybiera sposób dalszego postępowania uwzględniając zagrożenie w prawidłowości i ciągłości pracy,

          - odbiera dokładną relację z zaistniałego naruszenia bezpieczeństwa danych od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje w związku
          z zaistniałym naruszeniem,

          - nawiązuje kontakt ze specjalistami zewnętrznymi (jeśli zachodzi taka potrzeba).

          § 7

          Inspektor ochrony danych dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych sporządzając raport - Załącznik nr 1.

          §8

          Inspektor ochrony danych zasięga potrzebnych mu opinii i proponuje działania naprawcze (w tym także ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych osobowych) - Załącznik nr 2 - rejestr incydentów i działań korygujących i zapobiegawczych

          Naruszenie danych osobowych - odpowiedzialność

          § 9

          1. Wobec osoby, która w przypadku naruszenia danych osobowych nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami wszczyna się postępowanie dyscyplinarne lub porządkowe. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych. Kara dyscyplinarna, wobec osoby uchylającej się od powiadomienia o naruszeniu danych osobowych nie wyklucza odpowiedzialności karnej tej osoby zgodnie z aktualnie obowiązującym przepisami oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę
            o zrekompensowanie poniesionych strat.

          Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu (obowiązujący od 25 maja 2018 roku)

          § 10

          1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki –
            w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je Urzędowi ochrony danych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Wzór zgłoszenia – Załącznik nr 3.
          2. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
            d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
          3. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.
          4. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

          Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (obowiązujący od 25 maja 2018 roku)

          § 11

          1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
          2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w § 10 ust. 2 lit. b), c) i d).
          3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
            a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
            b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;                                                                  c) wymagałoby ono niewspółmiernie dużego wysiłku.
          4. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.