Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 7 GRUDNIA 2017

 

Ochrona danych osobowych – nowe zasady, cz. 2

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego NDP

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
  • Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.U. z 2017 r. poz. 2077),
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej z 4.5.2016 r. L 119/1),
  • Projekt Ustawy o ochronie danych osobowych (z 12 września 2017 r.),
  • Projekt Ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (z 12 września 2017 r.).

 

Zmiany w zakresie ochrony danych osobowych wprowadzają nowe regulacje związane z powołaniem inspektora ochrony danych, który ma zastąpić obecnego administratora bezpieczeństwa informacji.

 

Od 25 maja 2018 r. zaczną obowiązywać przepisy unijnego Rozporządzenia z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Regulacje zawarte w tym akcie prawnym stosowane będą bezpośrednio (również w szkole), ale resort cyfryzacji przygotował projekt ustawy, która sprawi, że polskie i unijne przepisy będą się uzupełniać. Chodzi o Projekt ustawy o ochronie danych osobowych. Polskie przepisy muszą zapewniać skuteczne stosowanie przepisów RODO, nie powielając rozwiązań Rozporządzenia ani nie stojąc z nimi w sprzeczności. W tym celu konieczne jest – poza uchwaleniem nowej Ustawy o ochronie danych osobowych – także dokonanie licznych zmian w innych ustawach, zapewniających dostosowanie krajowego porządku prawnego do nowych norm prawnych. Z uwagi na ich liczbę zdecydowano się dokonać tego w Projekcie ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych.

 

Wyznaczenie inspektora ochrony danych

 

RODO wymaga od szkół obowiązkowego powołania inspektora ochrony danych osobowych. Co prawda obecnie obowiązujące przepisy już określają zasady powoływania specjalistów, którzy zajmują się przetwarzaniem danych osobowych w szkole, to jednak zatrudnianie administratora bezpieczeństwa informacji (ABI) nie jest obowiązkowe. Zmieni się to wraz z wejściem w życie RODO. Rozporządzenie reguluje kwestię inspektorów w przepisach art. 37–39. ABI-ego zastąpi obowiązkowo powoływany inspektor ochrony danych osobowych (IOD), o czym przesądza art. 37 ust. 1 lit. a RODO.

 

RODO w art. 37 nie wskazuje bezpośrednio, że administrator wyznacza inspektora w szkołach czy – szerzej – w jednostkach oświatowych. Stanowi jedynie, że należy powołać inspektora, gdy przetwarzania danych dokonują organ lub podmiot publiczny. Zatem dlaczego obowiązek ten dotyczy również szkół? Otóż definicję „organów” i „podmiotów publicznych” znajdziemy w nowej Ustawie o ochronie danych osobowych, która uzupełni tutaj przepisy RODO. W rozdz. 2 (art. 4–5) projektowanej Ustawy uregulowano tryb notyfikacji inspektorów ochrony danych osobowych oraz podmioty obowiązane w polskim porządku prawnym do wyznaczenia inspektora ochrony danych osobowych. I tak w art. 4 projektu Ustawy wskazano, że podmiotami publicznymi obowiązanymi do wyznaczenia inspektora są podmioty publiczne wskazane w art. 9 Ustawy o finansach publicznych (m.in. jednostki budżetowe). Jak wiadomo wszystkie szkoły, przedszkola i placówki publiczne, zakładane i prowadzone przez ministrów i jednostki samorządu terytorialnego, są jednostkami budżetowymi (art. 79 Ustawy o systemie oświaty). Nie ma zatem wątpliwości, że publiczna samorządowa szkoła jest obowiązana powołać inspektora ochrony danych.

 

Ważne!

 

Szkoły niesamorządowe i niepubliczne nie są jednostkami budżetowymi i nie zostały wskazane jako podmioty publiczne w rozumieniu przepisów RODO. Oznacza to, że w ich przypadku wyznaczenie inspektora jest dobrowolne.

 

Przekształcenie ABI-ego w IOD-a

 

Rozporządzenie unijne nie posługuje się nazwą znaną z polskiej Ustawy o ochronie danych osobowych – „administrator bezpieczeństwa informacji” (ABI), a sformułowaniem „inspektor ochrony danych” (IOD). Na podstawie art. 134 Projektu