Dołącz do czytelników
Brak wyników

Dyrektor kontra prawo

7 lutego 2018

NR 89 (Luty 2018)

Zmienione zasady przetwarzania danych osobowych
w placówkach oświatowych

0 251

Od 25 maja 2018 r. zaczną obowiązywać unijne regulacje w zakresie ochrony danych osobowych, które jedynie zostaną uzupełnione przez krajowe przepisy. Dla przedszkoli oznacza to obowiązek wdrożenia nowych rozwiązań, w znacznej mierze odmiennych od dotychczasowych.

 

Konieczność przygotowania się do stosowania nowych przepisów 

Dotychczasowa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. z 2016 r., poz. 922 z późn. zm., oraz wydane na jej podstawie przepisy wykonawcze zostaną zastąpione:

  • rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej RODO,
  • ustawą o ochronie danych osobowych (projekt: //legislacja.rcl.gov.pl/projekt/12 302 950/katalog/ 12 457 652#12 457 652). Ponieważ od 25 maja 2018 r. konieczne będzie wykonywanie wielu nowych zadań związanych z przetwarzaniem danych osobowych, jeszcze przed tym terminem w przedszkolach powinna nastąpić analiza przepisów oraz dokonanie wewnętrznych przeglądów, jakie dane osobowe są przetwarzane w danej placówce, w jaki sposób są gromadzone, jakie są podstawy prawne ich wykorzystywania i wykonywania na nich innych operacji, czy są komuś udostępniane oraz w jaki sposób są zabezpieczane. RODO kładzie szczególny nacisk na ochronę danych osobowych dzieci.

Jeszcze przed 25 maja 2018 r. w przedszkolach powinna nastąpić analiza przepisów oraz dokonanie wewnętrznych przeglądów, jakie dane osobowe są przetwarzane w danej placówce i w jaki sposób są gromadzone.

Najważniejsze zadania administratora danych osobowych (ADO)

Przedszkola będą musiały przestrzegać podstawowych zasad dotyczących operacji na danych osobowych, które muszą być zgodne z prawem i rzetelne. Osoby fizyczne (w szczególności uczniowie i ich rodzice, pracownicy) powinny wiedzieć, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane. Wiążą się z tym liczne zadania ADO, w tym przede wszystkim:

1. Obowiązek wdrożenia (oraz w razie potrzeby dokonywania przeglądów i uaktualnień) odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z przepisami – np. przez wprowadzenie polityk ochrony danych, stosowanie mechanizmu certyfikacji, który będzie prowadzony przez nowy organ – Prezesa Urzędu Ochrony Danych Osobowych (PUODO, który ma zastąpić dotychczasowego GIODO) lub kodeksu postępowania zatwierdzonego przez PUODO itp. Nowe przepisy w tym zakresie nie zobowiązują do opracowania konkretnej dokumentacji ani nie dają wytycznych co do ich treści.

2. Stosowanie odpowiednich środków technicznych i organizacyjnych – np. minimalizacja przetwarzania danych osobowych (dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), w razie potrzeby pseudonimizacja danych, nadanie przetwarzaniu niezbędnych zabezpieczeń, które powinny zostać rozważone i dobrane jeszcze przed rozpoczęciem przetwarzania danych, udzielenie dostępu do danych osobowych i ich przetwarzanie wyłącznie przez osoby upoważnione przez ADO i wykonujące operacje na jego polecenie, ustalenie terminów usuwania lub okresowego przeglądu danych osobowych (aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne). PUODO ma opracować i opublikować w BIP rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

3. Prowadzenie rejestru czynności przetwarzania danych osobowych w formie pisemnej, w tym elektronicznej – w którym m.in. należy zamieścić: cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych oraz środki techniczne i organizacyjne stosowane w celu ochrony danych. Obowiązek dotyczy podmiotów zatrudniających co najmniej 250 osób oraz – bez względu na liczbę zatrudnionych – przetwarzających szczególne kategorie danych osobowych, w tym dotyczące zdrowia.

4. Zgłaszanie PUODO przypadków naruszenia ochrony danych osobowych bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (co ma być możliwe poprzez system teleinformatyczny), a także dokumentowanie takich naruszeń w sposób przyjęty przez ADO.

5. Respektowanie praw osób, których dane są przetwarzane, w szczególności poprzez:

  • zbieranie danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, w tym niewynikającymi ze zgody na przetwarzanie danych osobowych, a także uzyskiwanie zgód na zasadzie wyraźnych i dobrowolnych oświadczeń (na ADO spoczywa obowiązek wykazania uzyskania wymaganych zgód) w przypadkach, gdy prawo do przetwarzania danych nie wynika z przepisu;
  • przetwarzanie szczególnych kategorii danych osobowych (dotychczas nazywanych wrażliwymi danymi osobowymi) tylko w przypadkach dozwolonych prawem;
  • wywiązywanie się z obowiązków informacyjnych ADO dotyczących pozyskiwania danych osobowych od osoby, której dotyczą, jak również z innych źródeł, m.in. o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania – w formie zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej (na piśmie, drogą elektroniczną, wyjątkowo ustnie), jasnym i prostym językiem, bez zbędnej zwłoki i nieodpłatnie; dość szeroki zakres tego obowiązku jest określony w art. 12 RODO;
  • umożliwienie dostępu do zgromadzonych danych osobowych dotyczących konkretnej osoby, informacji o ich przetwarzaniu (celu, okresie...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy