Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

 

 

Powoływanie IOD-a w przedszkolu niepublicznym

 

Opracował: Michał Łyszczarz, prawnik, współautor komentarza do Ustawy o systemie oświaty

 

Podstawa prawna:

 

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119 poz. 1),
  • Sprostowanie do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2018 r. Nr 127 poz. 2),
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000),
  • Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2017 r. poz. 2077 ze zm.),
  • Ustawa z dnia 27 października 2017 r. o finansowaniu zadań oświatowych (Dz.U. z 2017 r. poz. 2203).

 

25 maja 2018 r. zaczęło obowiązywać rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). Do nowych obowiązków wynikających z tego aktu należy powołanie Inspektora Ochrony Danych Osobowych (IOD-a), który zastąpi obecnego Administratora Bezpieczeństwa Informacji (ABI-ego).

 

W różnych opracowaniach nt. RODO pojawia się teza, że w niepublicznych przedszkolach nie ma konieczności powołania IOD-a. Warto się zastanowić, czy ma ona uzasadnienie w obowiązujących regulacjach. Czy rzeczywiście – w przypadku przedszkola niepublicznego prowadzonego przez inną niż jednostka samorządu osobę prawną lub osobę fizyczną – powołanie IOD-a jest nieobowiązkowe?

 

Co wynika z przepisów?

 

Powołanie IOD-a jest obligatoryjne w pewnych kategoriach podmiotów wskazanych w art. 37 ust. 1 RODO. Warto zauważyć, że przepis ten został sprostowany 23 maja 2018 r., czyli tuż przed wejściem RODO w życie.

 

Zgodnie z obecnym brzmieniem regulacji art. 37 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze wtedy, gdy:

 

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

 

Aby stwierdzić, czy w przedszkolu niepublicznym trzeba powołać IOD-a, należałoby przeanalizować każdy z tych przypadków.

 

Podstawowy argument przeciwko realizacji obowiązku powołania IOD-a wynika z faktu, że przedszkole niepubliczne nie może zostać uznane za podmiot publiczny w rozumieniu art. 37 RODO. Przedszkole może być uznane za podmiot publiczny wyłącznie wówczas, gdy spełni kryteria wskazane w art. 9 nowej polskiej Ustawy o ochronie danych osobowych. Według tego przepisu przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się:

 

  • jednostki sektora finansów publicznych,
  • instytuty badawcze,
  • Narodowy Bank Polski.

 

Przez jednostki sektora finansów publicznych rozumie się natomiast podmioty wymienione w art. 9 Ustawy o finansach publicznych, w tym jednostki budżetowe. Jest to forma organizacyjno-prawna, przy wykorzystaniu której działają przedszkola, ale wyłącznie te prowadzone przez samorząd, o czym przesądza z kolei treść art. 4 ust. 1 Ustawy o finansowaniu zadań oświatowych