Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

 

STAN PRAWNY NA 4 SIERPNIA 2023

Jak powinien postąpić dyrektor przedszkola w sytuacji, gdy zwolniony z pracy pracownik nie zwróci kluczy do szafki z dokumentami lub gdy dojdzie do skopiowania danych z komputerów przedszkola na prywatny nośnik? Co mówią na ten temat przepisy RODO? Czy wskazują one na konkretne czynności, jakie musi podjąć osoba kierująca placówką?

W przypadku przetwarzania danych osobowych przez pracowników przedszkola administratorem tych danych jest przedszkole. Wynika to z art. 4 pkt 7 RODO, który mówi, że pod pojęciem administratora rozumieć należy osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeśli administratorem jest przedszkole, to dyrektor tej placówki będzie jego przedstawicielem. Art. 68 ust. 1 pkt 1 Prawa oświatowego stanowi bowiem, że dyrektor kieruje działalnością przedszkola i reprezentuje je na zewnątrz. W praktyce jednak upraszcza się sprawę i mówi się, że to dyrektor jest administratorem danych. Jest to o tyle zasadne, że dyrektor jest wówczas odpowiedzialny za prowadzenie środków technicznych i administracyjnych służących ochronie danych osobowych przetwarzanych przez jednostkę.

Ochrona danych

Zgodnie z art. 5 RODO dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość),
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (ograniczenie celu),
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych),
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (prawidłowość),
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (ograniczenie przechowywania),
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

W regulacji tej pojawia się obowiązek zapewnienia środków technicznych i administracyjnych gwarantujących integralność i poufność danych. O tym, że spoczywa on na administratorze, mówi art. 24 RODO, zgodnie z którym uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym Rozporządzeniem i aby mogło to być wykazane. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Dobrym przykładem takiego środka administracyjnego może być wyznaczenie pracowników, którzy będą mieli wyłączny dostęp do danych osobowych, ale w przypadku przedszkola wprowadzenie takiego ograniczenia jest trudne do realizacji choćby ze względu na to, że praca z dziećmi, która dotyczy większości pracowników placówki, także polega na przetwarzaniu danych, zawartych m.in. w dziennikach zajęć. Treść § 2 ust. 2 Rozporządzenia MEN z dnia 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji wskazuje, że do dziennika zajęć przedszkola wpisuje się:

  • w porządku alfabetycznym nazwiska i imiona dzieci,
  • daty i miejsca urodzenia oraz adresy ich zamieszkania,
  • imiona i nazwiska rodziców oraz adresy ich zamieszkania, jeżeli są różne od adresu zamieszkania dziecka,
  • adresy poczty elektronicznej rodziców i numery ich telefonów, jeżeli je posiadają,
  • tematy przeprowadzonych zajęć,
  • godziny przyprowadzania i odbierania dziecka z przedszkola.

W dzienniku odnotowuje się też obecność dzieci na zajęciach w danym dniu. Przeprowadzenie zajęć nauczyciel potwierdza podpisem.