Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 17 STYCZNIA 2018

Co się zmieni – wykaz zmian w ochronie danych osobowych w przedszkolu

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego

 

Zmian, a raczej modyfikacji obowiązków, oprócz powołania inspektora, będzie kilka w różnych obszarach – patrz tabela.

Obszary związane

z ochroną danych osobowych

Dotychczasowe regulacje

Zmiany po 25 maja 2018 r. związane z RODO

Administrator

Administratorem danych jest przedszkole, w imieniu którego obowiązki administratora danych osobowych wykonuje dyrektor. On decyduje o celach i środkach przetwarzania danych. Na administratorze danych spoczywa odpowiedzialność za przetwarzane dane osobowe, bez względu na to, kto faktycznie administruje tymi danymi i kto je przetwarza. Jest odpowiedzialny za bezpieczeństwo tych danych oraz ponosi odpowiedzialność za naruszanie przepisów o ochronie danych osobowych.

 

W RODO pojęcie „administrator danych” zostało zastąpione pojęciem „administrator”. Jest nim osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. W przypadku przedszkola administratorem będzie przedszkole reprezentowane przez dyrektora. Do podstawowych obowiązków i odpowiedzialności administratora zgodnie z RODO będzie w szczególności należało:

  • przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w RODO,

  • wykonywanie obowiązków, które wynikają z praw osób, których dotyczą dane osobowe,

  • zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych,

  • przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych zgodnie z zasadami określonymi w rozporządzeniu – jeżeli takie operacje administrator realizuje,

  • wyznaczenie inspektora ochrony danych (art. 37 ust. 1 RODO).

Współadministrator

Nie było to uregulowane. Nie było możliwe powołanie współadministratora.

Pewnym novum jest instytucja współadministratorów.

Za współadministratorów uważa się tych administratorów danych, którzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych (przynajmniej dwóch). W drodze wspólnych uzgodnień w przejrzysty sposób określają podział zadań w zakresie wypełniania obowiązków wynikających z RODO. Przypadki przetwarzania danych osobowych zawartych w jednym zbiorze przez wielu administratorów danych: szkolenia, konferencje, seminaria współorganizowane przez kilka podmiotów.

Osoba odpowiedzialna za prawidłowe przetwarzanie chronionych danych

Dyrektor, jako przedstawiciel administratora danych, odpowiada za przetwarzanie danych. Przypominam, że formalnie administratorem jest jednostka – przedszkole, a dyrektor występuje w jej imieniu.

Te kwestie nie ulegną zmianie po wejściu w życie nowych przepisów dalej za przetwarzanie danych w będzie opowiadał dyrektor. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Dlatego każdy dyrektor powinien dobrze się przygotować i wdrożyć RODO. Dyrektor odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

Obowiązki administratora danych

W rozdziale 5 obecnej ustawy o ochronie danych osobowych wymienione zostały obowiązki ciążące na administratorach danych osobowych, służące ich ochronie. Na podstawie art. 36-39 UODO dyrektorzy przedszkoli mają następujące obowiązki organizacyjne i nadzorcze:

  • ustalenie, jakiego rodzaju dane osobowe są przetwarzane w przedszkolu oraz jakie zbiory danych są prowadzone,

  • spełnienie przesłanek uprawniających do przetwarzania danych osobowych zwykłych (np. zgoda osoby, której dane dotyczą, wykonywanie uprawnienia lub obowiązku wynikającego z przepisów prawa, wykonywanie określonych przez prawo zadań realizowanych dla dobra publicznego),

  • dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane,

  • zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (np. zabezpieczenie przed dostępem osób nieupoważnionych do pomieszczeń, w których wykonywane są jakiekolwiek operacje na danych osobowych, wydzielenie stosownych stref, pomieszczeń, mebli czy sprzętu oraz ich zabezpieczenie, systemy alarmowe, ochrona, ustalenie zasad i kontroli dostępu do miejsc przechowywania lub przetwarzania danych osobowych),

  • opracowanie i wdrożenie polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

  • możliwość powołania administratora bezpieczeństwa informacji (w przypadku niepowołania ABI jego zadania wykonuje administrator danych (art. 36a i b UODO) – od 1 stycznia 2015 r.,

  • zgłoszenie do rejestracji Generalnemu Inspektorowi, powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania (art. 46b UODO) – od 1 stycznia 2015 r.,

  • nadanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych,

  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,

  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,

  • respektowanie praw osób, których dane dotyczą,

  • zgłoszenie zbioru danych osobowych do rejestracji GIODO, jeśli taka rejestracja jest wymagana przepisami prawa.

RODO przewiduje dla administratorów danych wiele nowych obowiązków i zadań. Wprowadzony zostanie obowiązek:

  • informowania o naruszeniu danych – w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki (nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) będzie informował na stronie internetowej lub BIP,

  • ochrony prywatności na etapie planowania ochrony danych – administrator już na etapie planowania swoich działań związanych z przetwarzaniem danych powinien wybierać rozwiązania i narzędzia najbardziej sprzyjające ochronie prywatności i danych osobowych,

  • oceny skutków prowadzonych operacji przetwarzania danych osobowych (opis w dalszej części tabeli),

  • zatrudnienia inspektora ochrony danych osobowych.

Nowe definicje

Nie było to uregulowane wprost w przepisach.

Ustawodawca unijny dodał wiele nowych terminów i definicji do RODO:

  • znalazło się miejsce na definicje danych biometrycznych, genetycznych (uznanych za dane tzw. „szczególnie chronione” – wrażliwe),

  • zdefiniowano też nowy środek ochrony danych polegający na ich „pseudonimizacji” – chodzi o przetwarzanie danych (najczęściej na dużą skalę), uniemożliwiające przypisanie ich konkretnym osobom,

  • uwzględniono pojęcie tzw. profilowania – oznacza ono dowolną formę zautomatyzowanego przetwarzania danych, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Więcej praw dla podmiotów danych

Są to podstawowe prawa jak uprawnienia informacyjne, prawo dostępu do danych, prawo sprzeciwu, itd.