Dołącz do czytelników
Brak wyników

Przedszkole niepubliczne

15 listopada 2018

NR 96 (Listopad 2018)

Czy powołanie IOD jest obowiązkowe w przedszkolu niepublicznym?

656

Inspektor ochrony danych (dalej: IOD) to podmiot, którego powołanie przewidziane jest w sekcji 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE L. z 2016 r. Nr 119, poz. 1) – dalej RODO. Uznać można, że IOD w obecnym kształcie stanowi odpowiednik ABI – administratora bezpieczeństwa informacji (ABI), którego powołanie przewidywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 ze zm.).

Zgodnie z art. 36a ust. 2 tej ustawy o ochronie danych osobowych do zadań ABI należało:

POLECAMY

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    2. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 (opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych), oraz przestrzegania zasad w niej określonych,
    3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Przepis art. 36a ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. już jednak nie obowiązuje, a instytucja ABI została zastąpiona właśnie przez wspomnianego na wstępie IOD – inspektora ochrony danych. Pod wieloma względami obowiązki IOD są bardzo podobne do tych, jakie były nałożone na ABI. Zgodnie z art. 39 ust. 1 RODO inspektor ochrony danych ma następujące zadania:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania rozporządzenia RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz – gdy zaistnieje taka potrzeba – prowadzenie konsultacji we wszelkich innych sprawach.

Kiedy należy wyznaczyć IOD

Rodzi się pytanie o to, czy obowiązek wyznaczenia IOD dotyczy również niepublicznego przedszkola. Jest ono o tyle zasadne, że zgodnie z nieobowiązującym art. 36a ust. 1 administrator danych mógł, ale nie miał obowiązku powołania ABI, co wynikało ze sposobu zredagowania tego przepisu – „administrator danych może powołać administratora bezpieczeństwa informacji”. Administrator danych miał tutaj zatem pełną dowolność i mógł zdecydować, że powołanie ABI nie jest mu potrzebne.
RODO do kwestii powołania IOD podchodzi zupełnie inaczej. Zgodnie z art. 37 tego aktu administrator wyznacza inspektora ochrony danych, ilekroć:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, albo danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

Zaczynając od ostatniego z tych punktów, zauważyć należy, że do szczególnych kategorii danych osobowych, o których mowa w art. 9, należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Tutaj pojawia się pierwsza przesłanka wskazująca na konieczność powołania IOD w niepublicznym przedszkolu– jednostki te bowiem przetwarzają dane osobowe dotyczące zdrowia uczniów i wychowanków. Takie dane są gromadzone z różnych powodów – ujawniają je rodzice, nakazując zwracanie szczególnej uwagi na określone substancje, na które dziecko jest uczulone. Ujawnianie danych wskazanych w art. 9 RODO jest też wymagane przez ustawę o systemie informacji oświatowej (t.j. Dz. U. z 2017 r., poz. 2159 ze zm.). Dla przykładu: zgodnie z art. 12 tego aktu dane dziedzinowe ucznia w związku z wczesnym wspomaganiem rozwoju, zajęciami rewalidacyjno-wychowawczymi oraz kształceniem specjalnym obejmują numer i datę wydania opinii o potrzebie wczesnego wspomagania rozwoju, orzeczenia o potrzebie zajęć rewalidacyjno-wychowawczych, orzeczenia o potrzebie kształcenia specjalnego oraz informację o rodzaju niepełnosprawności, a w przypadku niepełnosprawności sprzężonych –współwystępujących niepełnosprawności, niedostosowaniu społecznym lub zagrożeniu niedostosowaniem społecznym.
W związku z prowadzeniem wczesnego wspomagania rozwoju na ucznia przysługuje oczywiście inna wysokość dotacji dla niepublicznej jednostki. Zauważyć zresztą należy, że przetwarzanie danych dotyczących niepełnosprawności uczniów jest wymagane przez ustawę o finansowaniu zadań oświatowych (Dz. U. z 2017 r., poz. 2203 ze zm.). Zgodnie z art. 17 ust. 3 tego aktu niepubliczne przedszkole niebędące przedszkolem specjalnym, niespełniające warunków do tzw. pełnej dotacji, otrzymuje na każdego ucznia dotację z budżetu gminy w wysokości równej 75% podstawowej kwoty dotacji dla przedszkoli, z tym że na ucznia niepełnosprawnego w wysokości nie niższej niż kwota przewidziana na takiego ucznia niepełnosprawnego przedszkola w części oświatowej subwencji ogólnej dla gminy. Niepełnosprawność ucznia ma zatem bezpośredni wpływ na wysokość dotacji.
Fakt przetwarzania danych dotyczących zdrowia ucznia to jednak nie jest jedyna przesłanka, która popiera tezę o obowiązkowości powołania IOD w niepublicznym przedszkolu. Zauważyć należy, że zgodnie z przywołanym wcześniej art. 37 RODO administrator powoła IOD, jeżeli główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
Należy podkreślić, że przetwarzanie danych przez przedszkole jako jednostkę organizacyjną jest już przetwarzaniem na dużą skalę, natomiast przetwarzanie przez pojedynczego nauczyciela takim przetwarzaniem nie jest. Zatem mamy tu kolejną przesłankę przemawiającą za tym, aby IOD w niepublicznym przedszkolu jednak powoływać.
Warto również dodać, w jakim przypadku RODO oraz nowa ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.(Dz. U. z 2018 r., poz. 1000) wprost nakazują powołanie IOD.Zgodnie z art. 37 ust. 1a RODO administrator wyznacza IOD zawsze, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Nowa ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. stanowi natomiast w art. 9, że przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się:

  • jednostki sektora finansów publicznych,
  • instytuty badawcze,
  • Narodowy Bank Polski.

Zgodnie z art. 9 ustawy o finansach publicznych (t.j. Dz. U.z 2017 r., poz. 2077 ze zm.) sektor finansów publicznych tworzą:

  • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
  • jednostki samorządu terytorialnego oraz ich związki,
  • związki metropolitalne,
  • jednostki budżetowe,
  • samorządowe zakłady budżetowe,
  • agencje wykonawcze,
  • instytucje gospodarki budżetowej,
  • państwowe fundusze celowe,
  • Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,
  • Narodow...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy