Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 5 PAŹDZIERNIKA 2018

 

Kontrola Urzędu Ochrony Danych Osobowych w przedszkolu

 

Opracował: Konrad Gałaj-Emiliańczyk, prawnik, inspektor ochrony danych, audytor systemu zarządzania ciągłością biznesową, wykładowca, zajmuje się szkoleniami i tworzeniem dokumentacji zgodnej z RODO

 

Podstawa prawna:

  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000),
  • Ustawa z dnia 6 marca 2018 r. Prawo przedsiębiorców (Dz.U. z 2018 r. poz. 646),
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

 

Kontrole UODO dotyczące przestrzegania przepisów o ochronie danych osobowych zostały dość szczegółowo opisane w regulacjach prawnych. Organ nadzorczy posiada uprawnienie w zakresie prowadzenia audytów ochrony danych, które mają na celu określenie poziomu przestrzegania przez przedszkole ww. przepisów. Jednak jak w praktyce wygląda sama kontrola i jak przedszkole powinno się do niej przygotować, tak by jej wynik nie spowodował negatywnych konsekwencji?

Przyczyny kontroli

 

Na podstawie art. 78 Ustawy o ochronie danych osobowych (dalej: uodo.) kontrolę przestrzegania jej przepisów przeprowadza Prezes Urzędu. Prowadzi się ją zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji, lub w ramach monitorowania przestrzegania stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).

 

Kontrola UODO może się pojawić w przedszkolu z kilku powodów. Po pierwsze mogą to być skargi osób, których dane dotyczą. W przedszkolach najczęściej są to skargi rodziców i opiekunów na niewłaściwe przetwarzanie danych osobowych ich podopiecznych (przedszkolaków). W praktyce najprawdopodobniej jedna skarga nie spowoduje automatycznie kontroli, jednak wiele skarg od różnych osób może już odnieść taki skutek. Po drugie – przyczyną kontroli mogą być informacje opublikowane np. w internecie lub w prasie lokalnej, dotyczące niezgodnego z prawem przetwarzania danych osobowych przez przedszkole. W takim przypadku placówka oświatowa może otrzymać zapytanie od UODO i w razie braku odpowiedzi lub niesatysfakcjonującej odpowiedzi UODO przeprowadzi kontrolę (podobnie w przypadku wiarygodnych informacji potwierdzonych we własnym zakresie przez UODO). Po trzecie – informacja o naruszeniu ochrony danych osobowych w przedszkolu, która dotrze do UODO, poprzez zgłoszenie własne przedszkola lub informacje ujawnione publicznie, również może ostatecznie spowodować kontrolę zgodności z przepisami ochrony danych osobowych. Ostatnią i najmniej prawdopodobną przyczyną kontroli jest znalezienie się placówki w rocznym planie kontroli tzw. z urzędu, czyli przeprowadzanych z inicjatywy samego UODO bez żadnych uprzednich informacji uprawdopodobniających naruszenie przepisów.

Zapowiedź kontroli

 

Pomimo że przepisy nie wymagają uprzedzania podmiotu kontrolowanego o planowanej kontroli, z reguły informacja taka jest przesyłana w formie korespondencji tradycyjnej. Posiłkując się przepisami dotyczącymi podmiotów sektora prywatnego, ze względu na art. 48 ust. 2 Ustawy Prawo przedsiębiorców, przyjmuje się, że kontrola w przedszkolu będzie przeprowadzana z siedmiodniowym uprzedzeniem. Taka praktyka była stosowana przez poprzedni urząd – Generalnego Inspektora Ochrony Danych Osobowych (GIODO) – i należy założyć, że w tym obszarze zostanie ona powielona przez UODO. Cele informowania o kontroli to tak naprawdę sprawne jej przeprowadzenie oraz umożliwienie placówce oświatowej odpowiedniego przygotowania. Warto jednak pamiętać, że teoretycznie kontrola w przedszkolu może nie być zapowiedziana, gdyż żaden przepis tego nie reguluje. Do tej pory informacja o kontroli zawierała ogólny opis planowanych czynności kontrolnych oraz termin ich przeprowadzenia. Gdyby się okazało, że przedstawiony termin jest wyjątkowo niekorzystny dla przedszkola (np. okres urlopowy kluczowych pracowników), można zwrócić się do UODO o wyznaczenie innego terminu wraz z uzasadnieniem. Oczywiście UODO może odmówić, ale dotychczasowa praktyka pokazuje, że przesunięcie terminu o jeden lub dwa dni nie napotyka oporu ze strony organu nadzorczego.

Przygotowanie do kontroli

 

Gdy już wiemy, kiedy nastąpi kontrola, mamy czas na przygotowanie się do niej. W trakcie przygotowań należy pamiętać przede wszystkim o jednej z najważniejszych zasad ogólnych RODO, czyli o art. 5 ust. 2 i wynikającej z niego tzw. zasadzie rozliczalności, która mówi o tym, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie to przestrzeganie wykazać.