OPUBLIKOWANO: 16 STYCZNIA 2018
Nowe obowiązki administratora danych osobowych
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej z 4.5.2016 r. L 119/1),
- Projekt ustawy o ochronie danych osobowych (z 12 września 2017 r.).
W myśl nowych przepisów dotyczących ochrony danych osobowych, „administratora danych” zastąpi „administrator”. Jakie będą w związku z tym nowe obowiązki dyrektora jako przedstawiciela administratora danych?
Administratorem danych jest szkoła, w imieniu której obowiązki administratora danych osobowych wykonuje dyrektor. On decyduje o celach i środkach przetwarzania danych. Na administratorze danych spoczywa odpowiedzialność za przetwarzane dane osobowe, bez względu na to, kto faktycznie administruje tymi danymi i kto je przetwarza. Jest odpowiedzialny za bezpieczeństwo tych danych oraz ponosi odpowiedzialność za naruszanie przepisów o ochronie danych osobowych. W RODO pojęcie „administrator danych” zostało zastąpione pojęciem „administrator”. Jest nim osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych.
Obecne obowiązki administratora danych
Żaden przepis Ustawy o ochronie danych osobowych nie zawiera pełnego katalogu obowiązków administratora danych osobowych, jednak na podstawie obecnej Ustawy można wyodrębnić następujące grupy:
- ustalenie, jakiego rodzaju dane osobowe są przetwarzane w szkole oraz jakie zbiory danych są prowadzone,
- spełnienie przesłanek uprawniających do przetwarzania danych osobowych zwykłych (np. zgoda osoby, której dane dotyczą, wykonywanie uprawnienia lub obowiązku wynikającego z przepisów prawa, wykonywanie określonych przez prawo zadań realizowanych dla dobra publicznego),
- dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane,
- zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (np. zabezpieczenie przed dostępem osób nieupoważnionych do pomieszczeń, w których wykonywane są jakiekolwiek operacje na danych osobowych, wydzielenie stosownych stref, pomieszczeń, mebli czy sprzętu oraz ich zabezpieczenie, systemy alarmowe, ochrona, ustalenie zasad i kontroli dostępu do miejsc przechowywania lub przetwarzania danych osobowych),
- opracowanie i wdrożenie polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
- możliwość powołania administratora bezpieczeństwa informacji (w przypadku niepowołania ABI-ego jego zadania wykonuje administrator danych – art. 36a i b Ustawy),
- zgłoszenie do rejestracji GIODO powołania i odwołania administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania (art. 46b Ustawy),
- nadanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych,
- prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
- zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
- respektowanie praw osób, których dane dotyczą,
- poinformowanie pracowników oraz rodziców uczniów o przetwarzaniu danych osobowych (tzw. obowiązek informacyjny),
- zgłoszenie zbioru danych osobowych do rejestracji GIODO, jeśli taka rejestracja jest wymagana przepisami prawa.
Każdemu z obowiązków wskazanych powyżej będzie odpowiadał nowy obowiązek wynikający z RODO.
Przykład 1
Rodzic drogą e-mailową zwrócił się do dyrektora o wskazanie, w jakich zbiorach są gromadzone dane osobowe jego oraz dziecka, komu i z jakich powodów zostały udostępnione w ciągu ostatnich 2 lat. Dyrektor powinien w formie pisemnej udzielić odpowiedzi na powyższe zapytanie w ciągu 30 dni, ponieważ dotyczy ono gromadzenia danych osobowych.
Nowe obowiązki w związku z RODO
Do podstawowych obowiązków i odpowiedzialności administratora, zgodnie z RODO, będą w szczególności należały:
- przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w RODO,
- wykonywanie obowiązków wynikających z praw osób, których dotyczą dane osobowe,
- zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych,
- przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych zgodnie z zasadami określonymi w Rozporządzeniu – jeżeli takie operacje administrator realizuje,
- wyznaczenie inspektora ochrony danych.
Harmonogram wdrażania RODO
Aby przygotować się do właściwego wypełniania nowych obowiązków, osoby wyznaczone do wdrożenia RODO w placówce oświatowej muszą opracować dostosowany odpowiednio do celów, zakresu i złożoności prowadzonych operacji przetwarzania danych osobowych szczegółowy harmonogram realizacji zadań, które należy w ramach takiego przygotowania zrealizować. Powinien on określać:
- osobę lub strukturę organizacyjną, która jest odpowiedzialna za realizację zadania,
- osoby lub struktury organizacyjne współpracujące podczas realizacji zadania,
- sposób realizacji zadania oraz opracowania wyników jego realizacji,
- termin realizacji zadania.
Po opracowaniu i zatwierdzeniu harmonogramu należy zorganizować szkolenie poświęcone nowym obowiązkom wynikającym z RODO, w tym w szczególności zadaniom określonym w harmonogramie. Szkoleniem powinny zostać objęte przede wszystkim osoby, które będą realizowały zadania wskazane w harmonogramie.
Ustalenie kategorii osób, których dane są przetwarzane
