Wykaz skrótów | str. 13

Przedmowa | str. 15

Wstęp | str. 17

Rozdział I
Administrator, podmiot przetwarzający i odbiorca danych osobowych w jednostkach oświatowych | str. 21
1. Administrator | str. 21
2. Podmiot przetwarzający | str. 23
3. Inny administrator jako odbiorca danych | str. 23

Rozdział II
Zasady przetwarzania danych osobowych | str. 25
1. Zasada zgodności z prawem, rzetelności i przejrzystości | str. 25
2. Zasada ograniczenia celu | str. 26
3. Zasada minimalizacji danych | str. 27
4. Zasada prawidłowości danych | str. 29
5. Zasada ograniczenia przechowywania | str. 30
6. Zasada integralności i poufności danych | str. 31
7. Zasada rozliczalności | str. 32

Rozdział III
Podstawy przetwarzania danych osobowych | str. 33
1. Zgoda osoby, której dane dotyczą | str. 33
2. Umowa | str. 37
3. Wypełnianie obowiązku prawnego ciążącego na administratorze | str. 37
4. Przetwarzanie danych osobowych w celu wykonania zadania publicznego realizowanego w interesie publicznym lub w ramach władzy publicznej powierzonej administratorowi | str. 40
5. Realizacja celów wynikających z prawnie uzasadnionych interesów administratora | str. 41
6. Przetwarzanie danych osobowych szczególnych kategorii | str. 42

Rozdział IV
Prawa osób, których dane dotyczą | str. 45
1. Prawo do informacji (art. 13 RODO) | str. 45
1.1. Administrator (art. 13 ust. 1 lit. a RODO) | str. 46
1.2. Inspektor ochrony danych (art. 13 ust. 1 lit. b RODO) | str. 46
1.3. Cel oraz podstawa prawna przetwarzania danych osobowych (art. 13 ust. 1 lit. c RODO) | str. 47
1.4. Odbiorcy danych (art. 13 ust. 1 lit. e RODO) | str. 47
1.5. Informacje o zamiarze przekazywania danych osobowych do państwa trzeciego (art. 13 ust. 1 lit. f RODO) | str. 49
1.6. Okres przetwarzania danych osobowych (art. 13 ust. 2 lit. a RODO) | str. 50
1.7. Prawa osób, których dane dotyczą (art. 13 ust. 2 lit. b RODO) | str. 51
1.8. Prawo do cofnięcia zgody (art. 13 ust. 2 lit. c RODO) | str. 52
1.9. Prawo do wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d RODO) | str. 52
1.10. Przetwarzanie jako wymóg ustawowy, umowny lub warunek zawarcia umowy | str. 53
1.11. Zautomatyzowane podejmowanie decyzji, w tym profilowanie (art. 13 ust. 2 lit. f RODO) | str. 53
2. Prawo do informacji (art. 13 RODO) w zamówieniach publicznych | str. 54
3. Prawo do informacji (art. 13 RODO) w postępowaniu administracyjnym | str. 55
4. Prawo do informacji (art. 14 RODO) | str. 56
5. Prawo do informacji (art. 14 RODO) w zamówieniach publicznych | str. 57
6. Prawo do informacji (art. 14 RODO) w postępowaniu administracyjnym | str. 57
7. Prawo dostępu do danych (art. 15 RODO) | str. 58
8. Prawo dostępu do danych w zamówieniach publicznych ... 59
9. Prawo dostępu do danych w postępowaniu administracyjnym | str. 60
10. Prawo do sprostowania danych (art. 16 RODO) | str. 61
11. Prawo do sprostowania danych osobowych w zamówieniach publicznych | str. 63
12. Prawo do usunięcia danych (art. 17 RODO) | str. 63
13. Prawo do ograniczenia przetwarzania (art. 18 RODO) | str. 65
14. Prawo do ograniczenia przetwarzania w zamówieniach publicznych | str. 66
15. Prawo do przenoszenia danych (art. 20 RODO) | str. 67
16. Prawo do sprzeciwu (art. 21 RODO) | str. 67
17. Prawo do sprzeciwu w zamówieniach publicznych | str. 68
18. Prawo do niepodlegania zautomatyzowanym decyzjom, w tym profilowaniu (art. 22 RODO) | str. 68

Rozdział V
Inspektor ochrony danych w jednostkach oświatowych | str. 70
1. Wyznaczenie inspektora ochrony danych | str. 70
2. Zadania i status inspektora ochrony danych | str. 72

Rozdział VI
Polityka bezpieczeństwa informacji | str. 74
1. Podstawy prawne opracowania dokumentu | str. 74
2. Określenie użytych pojęć w polityce bezpieczeństwa | str. 75
3. Zakres polityki bezpieczeństwa informacji | str. 76
4. Zasady przetwarzania danych osobowych | str. 76
5. Nadawanie upoważnień i uprawnień do przetwarzania danych osobowych | str. 76
6. Udostępnianie i powierzanie danych osobowych | str. 78
7. Realizacja praw osób, których dane dotyczą | str. 79
8. Szkolenia z zakresu ochrony danych osobowych | str. 79
9. Postępowanie w sytuacji wystąpienia incydentu lub naruszenia danych osobowych | str. 80
10. Sprawdzenie zgodności przetwarzania danych osobowych z obowiązującymi przepisami | str. 81
11. Zakresy zadań i odpowiedzialności osób biorących udział w przetwarzaniu danych osobowych | str. 81
12. Procedury przetwarzania danych osobowych w systemie informatycznym | str. 82

Rozdział VII
Rejestr czynności i kategorii czynności przetwarzania danych osobowych | str. 84
1. Rejestr czynności przetwarzania | str. 84
2. Rejestr wszystkich kategorii czynności przetwarzania | str. 91

Rozdział VIII
Powierzenie przetwarzania danych osobowych | str. 93
1. Wybór podmiotu przetwarzającego (art. 28 ust. 1 RODO) | str. 94
2. Zgoda na przekazanie danych innemu podmiotowi przetwarzającemu (art. 28 ust. 2 RODO) | str. 94
3. Umowa powierzenia przetwarzania danych zgodnie z art. 28 ust. 3 RODO | str. 95

Rozdział IX
Współadministrowanie danymi osobowymi | str. 103

Rozdział X
Monitoring wizyjny | str. 109
1. Konsultacje | str. 110
2. Informowanie osób, których dane są przetwarzane | str. 114

Rozdział XI
Upoważnienie do przetwarzania danych osobowych i oświadczenie o zachowaniu poufności | str. 116
1. Upoważnienie do przetwarzania danych szczególnej kategorii w kadrach | str. 117
2. Upoważnienie do przetwarzania danych o skazaniach w zamówieniach publicznych | str. 118
3. Upoważnienie do przetwarzania danych osobowych szczególnej kategorii w ramach zakładowego funduszu świadczeń socjalnych | str. 118
4. Oświadczenie o zachowaniu poufności | str. 118

Rozdział XII
Podejście oparte na ryzyku | str. 120
1. Szacowanie ryzyka | str. 123
1.1. Kontekst | str. 124
1.2. Analiza ryzyka | str. 125
1.2.1. Zakres analizy | str. 126
1.2.2. Identyfikacja celów | str. 127
1.2.3. Identyfikacja zasobów | str. 127
1.2.4. Ocena zasobów – różnicowanie wartości | str. 128
1.2.5. Identyfikacja podatności zasobów | str. 129
1.2.6. Identyfikacja zagrożeń | str. 129
1.3. Analiza zagrożeń | str. 130
1.4. Propozycje zabezpieczeń | str. 130
1.5. Określanie poziomu ryzyka | str. 131
1.5.1. Prawdopodobieństwo wystąpienia zagrożenia | str. 131
1.5.2. Ocena skutków zagrożenia | str. 132
1.5.3. Obliczenie poziomu ryzyka dla zasobów | str. 133
1.5.4. Ryzyko operacyjne | str. 134
1.6. Plan postępowania z ryzykiem | str. 134
1.7. Postępowanie z ryzykiem nieakceptowalnym | str. 135
1.8. Akceptacja ryzyka | str. 135
2. Ocena skutków przetwarzania | str. 137
3. Prywatność domyślna i prywatność na etapie projektowania | str. 141
4. Zarządzanie incydentami | str. 141

Rozdział XIII
Szacowanie ryzyka naruszenia praw i wolności osób w związku z przetwarzaniem danych osobowych w placówce oświatowej krok po kroku | str. 145
1. Kontekst | str. 146
2. Identyfikacja przetwarzań i zasobów | str. 146
3. Identyfikacja podatności i zagrożeń | str. 150
4. Analiza ryzyka | str. 152
5. Ocena ryzyka i opracowanie planu postępowania z ryzykiem | str. 159
6. Wdrożenie i monitorowanie planu postępowania z ryzykiem | str. 160

Rozdział XIV
Szacowanie ryzyka – przykład zastosowania | str. 161
1. Kontekst | str. 161
2. Identyfikacja przetwarzań i zasobów | str. 163
3. Identyfikacja podatności i zagrożeń | str. 168
4. Analiza ryzyka | str. 187
5. Plan postępowania z ryzykiem | str. 194

Rozdział XV
Ocena skutków dla ochrony danych | str. 195
1. Kontekst | str. 196
2. Dane, procesy, aktywa | str. 198
3. Podstawowe zasady | str. 201
4. Środki ochrony praw osób, których dane dotyczą | str. 203
5. Analiza ryzyka | str. 205
6. Opinia inspektora ochrony danych – podsumowanie | str. 206

Rozdział XVI
Stałe monitorowanie wdrożonych zabezpieczeń | str. 208

Rozdział XVII
Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych | str. 213

Rozdział XVIII
Zarządzanie incydentami | str. 218
1. Kontekst | str. 218
2. Rejestr incydentów | str. 220
3. Postępowanie z incydentem | str. 220
4. Procedura zarządzania incydentami | str. 221

Rozdział XIX
Naruszenia ochrony danych osobowych | str. 224
1. Rodzaj danych (RD) | str. 225
2. Skutki naruszenia (SN) | str. 226
3. Zakres danych (ZD) | str. 227
4. Sposób postępowania (SR) | str. 227
5. Ocena wagi naruszenia | str. 227
6. Zawiadomienie organu nadzorczego | str. 228
7. Zawiadomienie osób, których dane dotyczą | str. 228
8. Rejestr naruszeń | str. 230

Rozdział XX
Przepływ danych między placówką oświatową a organem prowadzącym i organem sprawującym nadzór pedagogiczny | str. 233
1. Organizacja i finansowanie zadań dydaktyczno-wychowawczych (arkusz organizacyjny) | str. 233
2. Audyty i kontrole | str. 235

Wykaz aktów prawnych | str. 237

Bibliografia | str. 239

Wykaz tabel | str. 241

O Autorach | str. 243