Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 17 LISTOPADA 2017

 

Wykaz zmian w ochronie danych osobowych w oświacie

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE z 4.05.2016 r., L 119/1),
  • Projekt ustawy o ochronie danych osobowych (z 12 września 2017 r.),
  • Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (z 12 września 2017 r.).

 

Unijne przepisy wprowadzają duże zmiany w zasadach przetwarzania danych osobowych przez jednostki oświatowe. Chociaż nowe reguły zaczną obowiązywać od 25 maja 2018 r., przygotowania do ich wdrożenia trzeba zacząć już teraz.

 

Modyfikacji obowiązków będzie kilka, i to w różnych obszarach. W niniejszym artykule prezentujemy ich wykaz. O szczegółach wdrażania poszczególnych rozwiązań będziemy pisali w kolejnych tekstach z cyklu.

 

Obszar 1. Osoba odpowiedzialna za prawidłowe przetwarzanie chronionych danych

 

Obecnie: dyrektor jako przedstawiciel administratora danych odpowiada za przetwarzanie danych. Warto pamiętać, że formalnie administratorem jest przedszkole, a dyrektor występuje w jego imieniu.

 

Po 25 maja 2018 r.: kwestie te nie ulegną zmianie, dalej za przetwarzanie danych w placówce będzie odpowiadał dyrektor. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych czy wynajęcie firmy zewnętrznej do tych działań nie zwalnia dyrektora z odpowiedzialności. Dlatego powinien on dobrze się przygotować do wdrożenia RODO. Odpowiada bowiem zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

 

Obszar 2. Powołanie inspektora ochrony danych osobowych

 

Obecnie: funkcję tę pełni administrator bezpieczeństwa informacji (ABI). Dyrektor nie jest obowiązany go powoływać, jeżeli jednak to uczyni, to fakt powołania i odwołania ABI-ego podlega zgłoszeniu do rejestracji GIODO w terminie 30 dni od daty jego powołania lub odwołania. W przypadku niepowołania ABI-ego jego zadania wykonuje administrator danych osobowych (w praktyce dyrektor). Ponadto powołanie ABI-ego i zgłoszenie go do GIODO do rejestracji mają wpływ na zakres obowiązków dotyczących rejestracji zbiorów danych osobowych. ABI prowadzi rejestr zbiorów danych (z wyjątkiem tych, które są wyłączone z obowiązku zgłoszenia do rejestracji GIODO).

 

Po 25 maja 2018 r.: administratora zastąpi obowiązkowo powoływany inspektor ochrony danych osobowych, o czym przesądza art. 37 ust. 1 lit. a RODO. Nie będzie to funkcja zupełnie nowa, bo w zasadzie obowiązki inspektora będą podobne do tych, które wypełniał ABI. Jednak powoływanie tego ostatniego nie było konieczne, natomiast inspektor ochrony danych osobowych będzie powoływany obowiązkowo (ale uwaga: tylko w przedszkolach publicznych). W praktyce zakres jego obowiązków będzie podobny do tego przewidzianego obecnie dla ABI-ego. Warto więc przy zatrudnianiu nowej osoby sięgnąć do rozporządzeń regulujących pracę administratora. Należy również pamiętać, że zatrudnienie inspektora nie zwalnia dyrektora z odpowiedzialności za bezpieczeństwo danych.

 

Obszar 3. Kategorie danych podlegających przetwarzaniu

 

Obecnie: przedszkole nie jest przedsiębiorcą i nie musi uzyskiwać zgody na przetwarzanie większości danych osobowych. Uprawnienia w tym zakresie wynikają m.in. z Prawa oświatowego, Karty nauczyciela, Kodeksu pracy i Ustawy o SIO.

 

Po 25 maja 2018 r.: w poszczególnych ustawach (Karta nauczyciela, Prawo oświatowe, Kodeks pracy) zostaną wprowadzone przepisy wskazujące rodzaj danych podlegających przetwarzaniu (ich wykaz) – artykuły poświęcone tylko danym osobowym. Zmienią się reguły, gdy takiej podstawy prawnej nie ma, np. w przypadku udostępniania wizerunku i danych podopiecznych na stronach internetowych i portalach społecznościowych. Nie jest to nowością, ale RODO zawiera dalej idące rozwiązania w zakresie wyrażania zgody na przetwarzanie danych osobowych. Precyzuje m.in., że wycofanie zgody musi być tak samo łatwe, jak jej udzielenie, i nie wpływa na zgodność z prawem przetwarzania, którego już dokonano.

 

Obszar 4. Umowy powierzenia przetwarzania danych osobowych

 

Obecnie: administrator danych osobowych może powierzyć ich przetwarzanie innemu podmiotowi zewnętrznemu, w drodze umowy zawartej na piśmie (np. z firmą prowadzącą dziennik elektroniczny, z firmą niszczącą dokumenty, w związku z przekazywaniem danych do CUW). Umowa ta zezwala administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych, co oznacza, że dyrektor nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Obecnie umowa powierzenia przetwarzania danych osobowych musi:

 

  • być sporządzona w formie pisemnej,
  • określać zakres powierzonych danych i cel ich powierzenia do przetwarzania,