Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 24 LISTOPADA 2017

 

Ochrona danych osobowych – nowe zasady, cz. 1

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego NDP

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej z 4.5.2016 r. L 119/1),
  • Projekt Ustawy o ochronie danych osobowych (z 12 września 2017 r.),
  • Projekt Ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (z 12 września 2017 r.).

 

Unijne przepisy wprowadzają duże zmiany w zasadach przetwarzania danych osobowych przez jednostki oświatowe. Chociaż nowe zasady zaczną obowiązywać od 25 maja 2018 r., warto już teraz zacząć przygotowania do ich wdrożenia.

 

Dostosowanie pracy szkół do nowych przepisów nie będzie proste, ponieważ wiele zasad wykonywania zmodyfikowanych obowiązków nie zostało uregulowanych. Zatem to każdy dyrektor – w wielu obszarach przetwarzania danych, przy udziale nowego ABI-ego – będzie zmuszony dookreślić poszczególne procedury, wymagane dokumenty czy zasady postępowania przy przetwarzaniu danych uczniów, rodziców, pracowników i innych osób współpracujących ze szkołą.

 

Nowe akty prawne

 

Od 25 maja 2018 r. zaczną obowiązywać bezpośrednio w placówkach oświatowych nowe przepisy unijne w sprawie ochrony danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO. Unijne Rozporządzenie nie wymaga podjęcia dodatkowych czynności przez polskie władze. Obowiązuje bezpośrednio, dlatego wszystkie podmioty, w tym także szkoły i placówki oświatowe, muszą dostosować procedury do zawartych w nim przepisów.

 

Na etapie prac legislacyjnych są również nowa Ustawa o ochronie danych osobowych (projekt z 12 września 2017 r.), która ma uzupełnić RODO, oraz Ustawa Przepisy wprowadzające ustawę o ochronie danych osobowych (projekt z 12 września 2017 r.). Ta ostatnia, podobnie jak Ustawa Przepisy wprowadzające ustawę Prawo oświatowe, przewiduje wiele zmian w przepisach (m.in. w Karcie nauczyciela, Ustawie o systemie oświaty, Ustawie Prawo oświatowe, Kodeksie pracy, Ustawie o SIO w zakresie wprowadzenia kategorii danych, jakie mogą być przetwarzane przez szkoły) oraz zmniejsza wymogi ochrony w jednostkach publicznych (m.in. w szkołach i przedszkolach publicznych).

 

Jak czytać nowe przepisy?

 

Po zmianach i wprowadzeniu tych trzech aktów prawnych (RODO, nowej Ustawy o ochronie danych osobowych oraz Ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych) niewątpliwie może być problem ze spójnym ustaleniem obowiązków placówki w zakresie przetwarzania i zabezpieczenia przetwarzanych w jednostce danych. W takim przypadku należy kierować się poniższą procedurą postępowania:

 

  • Krok 1. Najważniejszym dokumentem jest RODO – to w nim znajdziemy wszystkie obowiązki, jakie powinna spełniać placówka. Tekst można znaleźć w internecie. Oczywiście nie wszystkie zapisy tego Rozporządzenia będą miały zastosowanie w szkołach (np. dotyczące akredytacji czy przekazywania danych do innych państw), ale warto zapoznać się z całością.
  • Krok 2. Sprawdzamy, czy nowa Ustawa o ochronie danych osobowych uszczegóławia pewne elementy RODO. W nowej Ustawie znajdziemy przede wszystkim zasady postępowania w różnych okolicznościach, kompetencje i zasady działania Prezesa Urzędu Ochrony Danych Osobowych – obecnie GIODO, a także informacje o karach za uchybienia, postępowaniu przy zgłaszaniu inspektora do Prezesa UODO, postępowaniu przy naruszeniu przepisów o ochronie danych osobowych oraz prowadzeniu kontroli przez Prezesa UODO.
  • Krok 3. Ustalamy, czy nie ma jeszcze jakichś regulacji przejściowych związanych z wprowadzeniem nowej Ustawy o ochronie danych osobowychUstawie Przepisy wprowadzające ustawę o ochronie danych osobowych. Z reguły w takich ustawach wprowadzających zamieszcza się wykaz zmian w poszczególnych ustawach oraz szczególne zasady związane z płynnym wdrożeniem nowych przepisów ochrony. W tym przypadku Ustawa wprowadzająca zawiera wykaz ponad 130 ustaw, które zostaną zmienione. Pojawią się również nowe przepisy, a nawet całe rozdziały, zawierające kategorie przetwarzanych danych osobowych.

 

Wykaz zmian w ochronie danych osobowych w oświacie

 

Zmian, a raczej modyfikacji obowiązków, będzie kilka, i to w różnych obszarach. O szczegółach wdrażania poszczególnych rozwiązań będziemy pisali w kolejnych tekstach z cyklu.

 

Obszar 1. Osoba odpowiedzialna za prawidłowe przetwarzanie chronionych danych

 

Obecnie: dyrektor jako przedstawiciel administratora danych odpowiada za przetwarzanie danych. Warto pamiętać, że formalnie administratorem jest jednostka – szkoła, placówka, a dyrektor występuje w jej imieniu.

 

Po 25 maja 2018 r.: kwestie te nie ulegną zmianie, dalej za przetwarzanie danych w placówce będzie odpowiadał dyrektor. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych czy wynajęcie firmy zewnętrznej w tym obszarze nie zwalnia z tej odpowiedzialności. Dlatego każdy dyrektor powinien dobrze się przygotować i wdrożyć RODO. Dyrektor odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

 

Obszar 2. Powołanie inspektora ochrony danych osobowych

 

Obecnie: