Dołącz do czytelników
Brak wyników

Przedszkole niepubliczne

15 listopada 2018

NR 96 (Listopad 2018)

Czy powołanie IOD jest obowiązkowe w przedszkolu niepublicznym?

0 93

Inspektor ochrony danych (dalej: IOD) to podmiot, którego powołanie przewidziane jest w sekcji 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE L. z 2016 r. Nr 119, poz. 1) – dalej RODO. Uznać można, że IOD w obecnym kształcie stanowi odpowiednik ABI – administratora bezpieczeństwa informacji (ABI), którego powołanie przewidywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 ze zm.).

Zgodnie z art. 36a ust. 2 tej ustawy o ochronie danych osobowych do zadań ABI należało:

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    2. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 (opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych), oraz przestrzegania zasad w niej określonych,
    3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Przepis art. 36a ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. już jednak nie obowiązuje, a instytucja ABI została zastąpiona właśnie przez wspomnianego na wstępie IOD – inspektora ochrony danych. Pod wieloma względami obowiązki IOD są bardzo podobne do tych, jakie były nałożone na ABI. Zgodnie z art. 39 ust. 1 RODO inspektor ochrony danych ma następujące zadania:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania rozporządzenia RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz – gdy zaistnieje taka potrzeba – prowadzenie konsultacji we wszelkich innych sprawach.

Kiedy należy wyznaczyć IOD

Rodzi się pytanie o to, czy obowiązek wyznaczenia IOD dotyczy również niepublicznego przedszkola. Jest ono o tyle zasadne, że zgodnie z nieobowiązującym art. 36a ust. 1 administrator danych mógł, ale nie miał obowiązku powołania ABI, co wynikało ze sposobu zredagowania tego przepisu – „administrator danych może powołać administratora bezpieczeństwa informacji”. Administrator danych miał tutaj zatem pełną dowolność i mógł zdecydować, że powołanie ABI nie jest mu potrzebne.
RODO do kwestii powołania IOD podchodzi zupełnie inaczej. Zgodnie z art. 37 tego aktu administrator wyznacza inspektora ochrony danych, ilekroć:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, albo danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

Zaczynając od ostatniego z tych punktów, zauważyć należy, że do szczególnych kategorii danych osobowych, o których mowa w art. 9, należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Tutaj pojawia się pierwsza przesłanka wskazująca na konieczność powołania IOD w niepublicznym przedszkolu– jednostki te bowiem przetwarzają dane osobowe dotyczące zdrowia uczniów i wychowanków. Takie dane są gromadzone z różnych powodów – ujawniają je rodzice, nakazując zwracanie szczególnej uwagi na określone substancje, na które dziecko jest uczulone. Ujawn...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy