Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

 

STAN PRAWNY NA 14 MAJA 2025

Polityka ochrony danych to zbiór zasad proceduralnych, w którym systematyzuje się czynności i sposób przetwarzania danych osobowych oraz określa dla nich zabezpieczenia.

Administrator danych osobowych (ADO), którym jest przedszkole, powinien przestrzegać zasad zawartych w RODO. Uwzględniając m.in. ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, ADO powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO, a zgodność ta była możliwa do wykazania. Środki te obejmują zastosowanie odpowiednich polityk ochrony danych, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania.

RODO nie ustanawia bezpośrednio obowiązku sporządzania takiego dokumentu jak polityka ochrony danych (utożsamianego z dawną „polityką bezpieczeństwa”), zostawiając administratorowi autonomię przy zabezpieczaniu danych osobowych. Niemniej stworzenie takiej polityki lub zespołu polityk może wynikać z konkretnych czynności przetwarzania, jakich dokonuje się w jednostce. Przedszkole, przetwarzając m.in. dane osobowe dzieci, powinno brać pod uwagę ochronę ich wizerunku oraz innych danych, dlatego też polityka ochrony danych może w jego przypadku stanowić dowód uprzedniego zaplanowania odpowiednich zabezpieczeń.

Zależność polityki ochrony danych od analizy ryzyka

Polityka ochrony danych stanowi swoisty regulamin przestrzegania zasad ochrony danych osobowych w przedszkolu oraz materiał dowodowy w razie czynności kontrolnych, który pozwala wykazać, że przestrzega się tych zasad lub że dochowano należytej staranności, aby ich przestrzegać.

Dyrektor przedszkola może zlecić sporządzenie i wdrożenie polityki członkowi personelu lub zewnętrznemu specjaliście. Za jej przestrzeganie odpowiada przedszkole (jako ADO), co nie wyklucza roszczeń o charakterze następczym, np. w stosunku do pracownika, który naruszył zasady bezpieczeństwa. Zabezpieczenia danych osobowych projektuje się na podstawie uprzednio przeprowadzonej analizy ryzyka, która wskazuje na zagrożenia dla danych osobowych oraz sposób przeciwdziałania takim zagrożeniom. Innymi słowy, analiza ryzyka ma wpływ na kształt polityki ochrony danych, do której można przenieść jej wyniki. W niektórych przypadkach należy przeprowadzić zaawansowaną formę analizy ryzyka, tj. ocenę skutków dla ochrony danych. Przeprowadza się ją, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Szczegóły dotyczące tej oceny znaleźć można w art. 35 RODO (sama kwestia analizy ryzyka wymagałaby jednak odrębnego omówienia).

Zwróćmy zatem uwagę, że procedury ochrony danych osobowych projektuje się na podstawie uprzedniego spisania czynności przetwarzania, wskazujących, jakie dane, w jakich celach i z pomocą jakich środków się przetwarza, oraz analizy ryzyka określającej zagrożenia dla czynności przetwarzania, a także sposoby zapobiegania zagrożeniom, co oznacza, że opracowanie polityki ochrony danych następuje po dokonaniu analizy ryzyka.

Elementy polityki ochrony danych

Obecnie przepisy nie ustanawiają listy elementów, które powinna zawierać polityka ochrony danych przedszkola. Jej zawartość zależy od tego, w jaki sposób przetwarza się dane, a zwłaszcza – jakie technologie do takiego przetwarzania są wykorzystywane. W polityce ochrony danych przedszkole powinno umieścić przede wszystkim:

  • opis dotyczący celu wydania dokumentu,
  • podstawę prawną ochrony danych osobowych w przedszkolu oraz słowniczek pojęć,
  • wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,
  • opis celów, czynności i podstaw prawnych przetwarzania (obecnie można odesłać do wymaganego przez RODO rejestru czynności przetwarzania – przykładowy wzór sporządzony dla szkół znajduje się na stronie UODO,
  • opis, jakie dane i jak długo przetwarza się w ramach elektronicznych i papierowych zbiorów danych, w tym jakie dane podlegają przetwarzaniu w danym zbiorze (tu również można posłużyć się rejestrem czynności przetwarzania),
  • opis powiązania pomiędzy zbiorami danych (należy wskazać, jakie informacje i w jakich sytuacjach przepływają pomiędzy tymi zbiorami) oraz przepływ danych na zewnątrz (np. do kuratorium),
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia przestrzegania zasad zawartych głównie w art. 5 RODO (np. zasady minimalizacji, integralności, poufności i rozliczalności) – opis ten ma wynikać z analizy/analiz ryzyka, do których warto w tym miejscu odesłać,
  • określenie sposobu nadawania upoważnień do przetwarzania danych osobowych (wraz ze zobowiązaniem do zachowania w tajemnicy pozyskanych informacji),
  • wzory upoważnień do przetwarzania danych osobowych lub odesłanie do nich,