OPUBLIKOWANO: 12 STYCZNIA 2018
Nowe obowiązki administratora danych osobowych – część 1
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej z 4.5.2016 r. L 119/1),
- Projekt ustawy o ochronie danych osobowych (z 12 września 2017 r.).
W myśl nowych przepisów dotyczących ochrony danych osobowych, „administratora danych” zastąpi „administrator”. Jakie będą w związku z tym nowe obowiązki dyrektora jako przedstawiciela administratora danych?
Placówki oświatowe muszą się przygotować do nowych unijnych przepisów dotyczących ochrony danych osobowych, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Mają na to czas do 25 maja 2018 r. – wtedy ów akt prawny zacznie obowiązywać.
Przedstawiamy pierwszą część kolejnego artykułu z cyklu dotyczącego zmian w zakresie przetwarzania i ochrony danych osobowych.
Administratorem danych jest przedszkole, w imieniu którego obowiązki administratora danych osobowych wykonuje dyrektor. On decyduje o celach i środkach przetwarzania danych. Na administratorze danych spoczywa odpowiedzialność za przetwarzane dane osobowe, bez względu na to, kto faktycznie administruje tymi danymi i kto je przetwarza. Jest odpowiedzialny za bezpieczeństwo tych danych oraz ponosi odpowiedzialność za naruszanie przepisów o ochronie danych osobowych. W RODO pojęcie „administrator danych” zostało zastąpione pojęciem „administrator”. Jest nim osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych.
Obecne obowiązki administratora danych
Żaden przepis Ustawy o ochronie danych osobowych nie zawiera pełnego katalogu obowiązków administratora danych osobowych, jednak na podstawie obecnej Ustawy można wyodrębnić następujące grupy:
- ustalenie, jakiego rodzaju dane osobowe są przetwarzane w przedszkolu oraz jakie zbiory danych są prowadzone,
- spełnienie przesłanek uprawniających do przetwarzania danych osobowych zwykłych (np. zgoda osoby, której dane dotyczą, wykonywanie uprawnienia lub obowiązku wynikającego z przepisów prawa, wykonywanie określonych przez prawo zadań realizowanych dla dobra publicznego),
- dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane,
- zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (np. zabezpieczenie przed dostępem osób nieupoważnionych do pomieszczeń, w których wykonywane są jakiekolwiek operacje na danych osobowych, wydzielenie stosownych stref, pomieszczeń, mebli czy sprzętu oraz ich zabezpieczenie, systemy alarmowe, ochrona, ustalenie zasad i kontroli dostępu do miejsc przechowywania lub przetwarzania danych osobowych),
- opracowanie i wdrożenie polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
