Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 9 MARCA 2018

 

Rejestracja zbiorów danych osobowych po zmianach (Ochrona danych osobowych – nowe zasady, cz. 5)

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego

 

Podstawa prawna:

 

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE. L 119/1),
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922).

 

Procedura rejestracji i aktualizacji zbiorów często była uciążliwa dla szkół i jednocześnie nie gwarantowała, że dany administrator prawidłowo przetwarzał i zabezpieczał dane osobowe. W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) zrezygnowano z obowiązku rejestracji zbiorów danych osobowych w GIODO. Nowe przepisy w zamian nakładają na administratora danych obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Istnieją jednak wyjątki, kiedy nie trzeba prowadzić również tego rejestru.

 

Wykaz zbiorów danych osobowych podlegających rejestracji w GIODO

 

Zgodnie z dotychczasowym stanem prawnym jeżeli szkoła powołała Administratora Bezpieczeństwa Informacji (ABI-ego), to właśnie on prowadził rejestr zbiorów danych osobowych. Co oznaczało, że nie trzeba było tych zbiorów rejestrować w GIODO, z wyjątkiem zbiorów danych wrażliwych. Jeśli jednak nie funkcjonował ABI, to szkoła rejestrowała zbiory w GIODO. W praktyce każdy zbiór inny niż wskazane poniżej podlegał rejestracji w GIODO (chyba, że ABI prowadził dany rejestr).

 

Rejestracji w GIODO nie podlegały zbiory danych osobowych:

 

  • tworzone w związku z zatrudnieniem w szkole oraz świadczeniem szkole usług na podstawie umów cywilnoprawnych – zbiór danych pracowników oraz osób zatrudnionych na umowy-zlecenia i o dzieło; zwolnienie dotyczyło również zbiorów danych byłych pracowników (np. których dane osobowe są przechowywane w szkole w celu regulowania zobowiązań emerytalnych z ZUS-u) oraz przyszłych pracowników, których dane osobowe są przetwarzane w związku z prowadzonym procesem rekrutacji (np. w gromadzonych CV),
  • tworzone w związku z osobami uczącymi się (wychowankami) – zwolnienie dotyczyło nie tylko uczniów, lecz także byłych wychowanków; jeżeli jednak w szkole przetwarzane były dane osobowe dzieci z innych placówek, to takie zbiory danych trzeba było zarejestrować (np. rejestr uczniów niebędących wychowankami szkoły, którzy korzystają z biblioteki),