Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 8 LUTEGO 2018

 

Nowe obowiązki administratora danych osobowych

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej z 4.5.2016 r. L 119/1),
  • Projekt ustawy o ochronie danych osobowych (z 12 września 2017 r.).

 

 

W myśl nowych przepisów dotyczących ochrony danych osobowych, „administratora danych” zastąpi „administrator”. Jakie będą w związku z tym nowe obowiązki dyrektora jako przedstawiciela administratora danych?

 

Placówki oświatowe muszą się przygotować do nowych unijnych przepisów dotyczących ochrony danych osobowych, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Mają na to czas do 25 maja 2018 r. – wtedy ów akt prawny zacznie obowiązywać.

 

Administratorem danych jest poradnia, w imieniu której obowiązki administratora danych osobowych wykonuje dyrektor. On decyduje o celach i środkach przetwarzania danych. Na administratorze danych spoczywa odpowiedzialność za przetwarzane dane osobowe, bez względu na to, kto faktycznie administruje tymi danymi i kto je przetwarza. Jest odpowiedzialny za bezpieczeństwo tych danych oraz ponosi odpowiedzialność za naruszanie przepisów o ochronie danych osobowych. W RODO pojęcie „administrator danych” zostało zastąpione pojęciem „administrator”. Jest nim osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych.

 

OBECNE OBOWIĄZKI ADMINISTRATORA DANYCH 

 

Żaden przepis Ustawy o ochronie danych osobowych nie zawiera pełnego katalogu obowiązków administratora danych osobowych, jednak na podstawie obecnej Ustawy można wyodrębnić następujące grupy:

 

  • ustalenie, jakiego rodzaju dane osobowe są przetwarzane w poradni oraz jakie zbiory danych są prowadzone,
  • spełnienie przesłanek uprawniających do przetwarzania danych osobowych zwykłych (np. zgoda osoby, której dane dotyczą, wykonywanie uprawnienia lub obowiązku wynikającego z przepisów prawa, wykonywanie określonych przez prawo zadań realizowanych dla dobra publicznego),
  • dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane,
  • zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (np. zabezpieczenie przed dostępem osób nieupoważnionych do pomieszczeń, w których wykonywane są jakiekolwiek operacje na danych osobowych, wydzielenie stosownych stref, pomieszczeń, mebli czy sprzętu oraz ich zabezpieczenie, systemy alarmowe, ochrona, ustalenie zasad i kontroli dostępu do miejsc przechowywania lub przetwarzania danych osobowych),
  • opracowanie i wdrożenie polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
  • możliwość powołania administratora bezpieczeństwa informacji (w przypadku niepowołania ABI-ego jego zadania wykonuje administrator danych – art. 36a i b Ustawy),
  • zgłoszenie do rejestracji GIODO powołania i odwołania administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania (art. 46b Ustawy),
  • nadanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych,
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
  • respektowanie praw osób, których dane dotyczą,
  • poinformowanie pracowników oraz rodziców uczniów o przetwarzaniu danych osobowych (tzw. obowiązek informacyjny),
  • zgłoszenie zbioru danych osobowych do rejestracji GIODO, jeśli taka rejestracja jest wymagana przepisami prawa.

 

Każdemu z obowiązków wskazanych powyżej będzie odpowiadał nowy obowiązek wynikający z RODO.

 

Przykład

Rodzic drogą e-mailową zwrócił się do dyrektora o wskazanie, w jakich zbiorach są gromadzone dane osobowe jego oraz dziecka, komu i z jakich powodów zostały udostępnione w ciągu ostatnich 2 lat. Dyrektor powinien w formie pisemnej udzielić odpowiedzi na powyższe zapytanie w ciągu 30 dni, ponieważ dotyczy ono gromadzenia danych osobowych.

 

NOWE OBOWIĄZKI W ZWIĄZKU Z RODO

 

Do podstawowych obowiązków i odpowiedzialności administratora, zgodnie z RODO, będą w szczególności należały:

 

  • przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w RODO,
  • wykonywanie obowiązków wynikających z praw osób, których dotyczą dane osobowe,
  • zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych,
  • przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych zgodnie z zasadami określonymi w Rozporządzeniu – jeżeli takie operacje administrator realizuje,
  • wyznaczenie inspektora ochrony danych.

 

Harmonogram wdrażania RODO

 

Aby przygotować się do właściwego wypełniania nowych obowiązków, osoby wyznaczone do wdrożenia RODO w placówce oświatowej muszą opracować dostosowany odpowiednio do celów, zakresu i złożoności prowadzonych operacji przetwarzania danych osobowych szczegółowy harmonogram realizacji zadań, które należy w ramach takiego przygotowania zrealizować. Powinien on określać:

 

  • osobę lub strukturę organizacyjną, która jest odpowiedzialna za realizację zadania,
  • osoby lub struktury organizacyjne współpracujące podczas realizacji zadania,
  • sposób realizacji zadania oraz opracowania wyników jego realizacji,
  • termin realizacji zadania.

 

Po opracowaniu i zatwierdzeniu harmonogramu należy zorganizować szkolenie poświęcone nowym obowiązkom wynikającym z RODO, w tym w szczególności zadaniom określonym w harmonogramie. Szkoleniem powinny zostać objęte przede wszystkim osoby, które będą realizowały zadania wskazane w harmonogramie.

 

Ustalenie kategorii osób, których dane są przetwarzane