Od 25 maja 2018 r. zasady przetwarzania danych osobowych w placówkach oświatowych, również prowadzonych przez podmioty niesamorządowe, będą ustalane na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO). Zapisy rozporządzenia unijnego będzie uzupełniała nowa ustawa o ochronie danych osobowych. Reguluje ona jednak zupełnie inne zagadnienia niż obecnie.
Przedstawiamy minimalny wykaz zadań, które muszą zostać zrealizowane przed 25 maja, ale również czynności do wykonania już po tym terminie.
| Zadanie | Przepis RODO | Praktyczne uwagi do zmian |
| Przed 25 maja 2018 r. | ||
| 1. Opracowanie polityki ochrony danych lub dostosowanie funkcjonującej dokumentacji | Art. 5, art. 32 RODO |
Warto pomyśleć o przygotowaniu dokumentacji, która będzie choćby w prosty sposób opisywać procedury postępowania z danymi osobowymi, jakie zachodzą w jednostce. Nie musi to być żaden formalny dokument. RODO nie wymaga już bezwzględnie posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Być może warto rozważyć wdrożenie dodatkowych środków, które poprawią bezpieczeństwo ochrony danych. Może jakieś informacje w tych dokumentach nie odpowiadają rzeczywistości i należy je poprawić. Jeżeli w placówce nie ma polityki bezpieczeństwa i instrukcji, to warto przygotować choćby jeden dokument opisujący postępowanie z danymi osobowymi w jednostce. W takim dokumencie powinny znaleźć się wszystkie istotne informacje dotyczące obiegu danych osobowych w placówce. Przed przygotowaniem dokumentacji trzeba wdrożyć odpowiednie procedury i środki ochrony danych osobowych, a dopiero potem je opisać. Chodzi o to, by dokumentacja odpowiadała rzeczywistości, a nie była tylko kolejnym niechcianym dokumentem. |
| 2. Opracowanie polityki zarządzania naruszeniami i dokumentacji naruszeń z uwzględnieniem wzorów zawiadomień o naruszeniu dla podmiotu danych |
Art. 33 i 34 RODO, motyw 85 oraz od 87 do 88 preambuły RODO |
Administrator będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru – Prezesa UODO. Będzie też musiał poinformować daną osobę o naruszeniu jej danych (art. 33 RODO). Pojęcie „naruszenie ochrony danych osobowych” zasługuje na szczególną uwagę w związku z tym, że zostało zdefiniowane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie trzeba zgłaszać naruszeń, jeśli dyrektor (IOD) oceni, że jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych. Należy wypracować zasady i sposób: oceny i kwalifikowania stwierdzonych naruszeń ochrony danych osobowych jako naruszeń, które z dużym prawdopodobieństwem mogą skutkować ryzykiem naruszenia praw i wolności osób fizycznych, zgłaszania naruszeń ochrony danych osobowych Prezesowi UODO, prowadzenia rejestru naruszeń |
| 3. Opracowanie nowych klauzul informacyjnych | Art. 13 i 14 RODO, motyw od 60 do 62 preambuły RODO |
RODO wprowadza rozszerzony obowiązek informacyjny. Warto porównać art. 13 i 14 RODO oraz art. 24 i 25 obecnej ustawy o ochronie danych osobowych. RODO rozróżnia dwa rodzaje obowiązku informacyjnego – kiedy administrator danych zbiera je: Jedyne wskazówki, jakich udziela ustawa, dotyczą momentu spełnienia obowiązku informacyjnego: odpowiednio w momencie zbierania danych, po utrwaleniu zebranych danych. Ustawa o ochronie danych osobowych nie wskazuje na formę spełnienia obowiązku informacyjnego. Ważne jest, aby osoba, która przekazuje swoje dane osobowe, miała możliwość zapoznania się z treścią informacji. Po stronie administratora danych leży natomiast obowiązek skutecznego jej poinformowania. W związku z tym obowiązku informacyjnego można dopełnić: Istnieje wyjątek od konieczności dopełnienia obowiązku informacyjnego, który wskazuje, że gdy osoba, której dane dotyczą, ma już informacje, które powinny być jej przekazane, wtedy nie trzeba spełniać obowiązku informacyjnego. Zatem z obowiązku informacyjnego całkowicie zwolnieni są ci administratorzy danych, którzy przetwarzają dane osób, które wiedzą, kim jest administrator (szkoła, przedszkole) i w jakim celu przetwarza ich dane |
| 4. Opracowanie wzorcowych zgód na przetwarzanie danych | Art. 7 RODO, motyw 32, 33, 42, 43, 58, 171 preambuły RODO | Należy zweryfikować treść zgód obecnie stosowanych i dostosować do wymagań art. 7 RODO. Rozporządzenie unijne nie wprowadza rewolucyjnych zmian w kwestii zgody. Zgoda może mieć formę nie tylko oświadczenia, ale również wyraźnego działania potwierdzającego (np. udział w konkursie). Podano przykłady form wyrażenia zgody (pisemne, elektroniczne lub ustne oświadczenie). RODO wyjaśnia, jaki minimalny zakres informacji o procesie przetwarzania danych należy przekazać osobie wyrażającej zgodę, aby była ona świadoma: tożsamość administratora i zamierzone cele przetwarzania. Możliwe będzie zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach (np. na przetwarzanie danych przy rekrutacji i ponowne wykorzystanie danych przy ewentualnym naborze uzupełniającym w przyszłości). Najważniejsze zmiany polegają przede wszystkim na potwierdzeniu w treści RODO warunków wyrażenia zgody (art. 7 RODO). I tak, żeby przetwarzanie danych na podstawie zgody było legalne, należy zapewnić: możliwość wycofania zgody w ławy sposób i w dowolnym momencie – jeśli administrator planuje uzyskiwać zgodę, powinien już na tym wstępnym etapie przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak będzie można tę zgodę odwołać (gdzie rodzic musi się zgłosić, jaki dokument wypełnić), dobrowolność wyrażenia zgody – chodzi o to, żeby nie uzależniać podjęcia pewnych działań od wyrażenia zgody (np. udział w konkursie uzależniony od wyrażenia zgody na przetwarzanie danych przez podmiot fundujący nagrodę w konkursie), aby osoba wyrażająca zgodę rozumiała istotę zgody, jej cel i skutki, aby miała pełne rozeznanie, przez kogo konkretnie i w jakim celu jej dane będą przetwarzane, możliwość udowodnienia uzyskania zgody – jeśli administrator nie jest w stanie tego wykazać, nie dysponuje podstawą prawną umożliwiającą mu przetwarzanie danych osobowych. Przykład: Jednostka nie musi pozyskiwać nowych zgód po 25 maja na wykorzystanie danych uczniów, nauczycieli, pracowników, rodziców, jeżeli zebrane zgody odpowiadają warunkom RODO. Zazwyczaj brak możliwości kontynuowania przetwarzania w oparciu o dotychczasowe zgody będzie wynikał przede wszystkim z niewyrażania zgody w sposób świadomy |
| 5. Przygotowanie wzorów umów powierzenia i stosownych aneksów | Art. 28 RODO, motyw 81 preambuły RODO | Przepis zawiera wykaz minimum informacji, jakie powinny znaleźć się w takich umowach. Należy więc sprawdzić, czy obecne umowy zawierają te minimalne postanowienia, a jeżeli nie, należy jest anektować. RODO zakazuje zewnętrznym firmom przekazywania informacji innym podmiotom bez uzyskania zgody administratora. Należy więc zabezpieczyć się stosownymi oświadczeniami w umowach powierzenia. Warto sprawdzić, czy podmioty, którym powierza się dane, zapewniają stosowanie odpowiednich środków ochrony danych osobowych |
| 6. Opracowanie metodyki prowadzenia analizy ryzyka | Art. 32, pkt 83 preambuły RODO |
To dyrektor powinien wypracować odpowiednie dla swojej placówki podejście do zarządzania ryzykiem w związku z przetwarzaniem danych osobowych, uwzględniające charakter środowiska, specyfikę prowadzonej działalności i posiadane doświadczenie, a w szczególności charakter, zakres oraz cele i sposób przetwarzania danych osobowych. Pojęcie ryzyka w szkołach nie jest niczym nowym. Można zaadaptować procedury dotyczące analizy i szacowania ryzyka wykorzystywane w innych obszarach. Najlepiej opracować checklistę punktów kontrolnych, określić poziom ryzyka (wysokie, umiarkowane, nieznaczne), sposób postępowania z tak określonym ryzykiem i okresowo dokonywać sprawdzeń |
| 7. Przygotowanie rejestru czynności przetwarzania danych | Art. 30 RODO | RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak dyrektorzy będą prowadzić wewnętrzny rejestr czynności przetwarzania danych. Poszczególne elementy tego rejestru (np. kolumny, gdy jest on prowadzony w formie tabeli) mogą być następujące: nazwa i dane adresowe administratora danych osobowych (np. szkoła X, z siedzibą w …), dane kontaktowe: telefon, adres e-mail, strona internetowa), imię i nazwisko inspektora ochrony danych, telefon, adres e-mail, nazwa czynności przetwarzania danych, np. rekrutacja, zatrudnianie, cel przetwarzania danych w danym procesie, kategorie osób, których dane dotyczą, np. pracownicy, kandydaci do pracy, uczniowie, rodzice, kategorie danych, np. zakres danych zwykłych, dane wrażliwe (poszczególne pozycje do odznaczenia lub do wpisania ręcznie), okres przechowywania danych, środki bezpieczeństwa, np. nazwa programu antywirusowego, informacja o stosowaniu szyfrowania (o ile taki opis jest możliwy). Wykaz informacji obligatoryjnych w dokumencie określa art. 30 RODO. Można wykorzystać informacje z rejestru zbiorów, który obecnie jest najczęściej załącznikiem do polityki bezpieczeństwa |
| 8. Organizacja szkoleń dla personelu | Art. 39 RODO | Obowiązek prowadzenia szkoleń został nałożony na inspektora ochrony danych. Jednak szkoły niepubliczne, nawet o uprawnieniach szkół publicznych, nie są obowiązane do wyznaczenia IOD. Obowiązek taki dotyczy tylko jednostek wskazanych w art. 9 ustawy o finansach publicznych (szkoły samorządowe). Jeżeli zatem nie został powołany inspektor, warto zorganizować zewnętrzne szkolenie dla pracowników dotyczące zmian w związku z wdrożeniem RODO w jednostce. Nie jest to jednak obowiązek. Dyrektor (lub inna osoba w jednostce) może sam przekazać te informacje pracownikom |
| 9. Przygotowanie nowych wzorów upoważnień | Art. 29 RODO Można wykorzystać dotychczasowe upoważnienia, ale jeżeli w treści odnoszą się do art. 37 ustawy o ochronie danych osobowych, to należy to usunąć lub zmienić na art. 29 RODO. Dalej można prowadzić ewidencję osób upoważnionych, by odnotowywać w niej wszystkie osoby, które upoważnia się do przetwarzania danych osobowych. Ważne jest, aby zweryfikować przy okazji zakres obowiązków poszczególnych pracowników, którzy zostali upoważnieni do przetwarzania danych. Powinien znaleźć się w nich zapis zobowiązujący do przetwarzania danych osobowych, w zakresie pełnionych obowiązków służbowych na zajmowanym stanowisku Po 25 maja 2018 r. |
|
| 10. Testowanie rozwiązań w praktyce |
Art. 5 RODO | Wdrożenie RODO to nie koniec zadań administratora, jest on obowiązany do monitorowania opracowanych zasad i procedur – sprawdzania, jak funkcjonują w praktyce. Jeżeli jest taka potrzeba, należy modyfikować przyjęte rozwiązania |
|
11. Dostosowywanie opracowanych dokumentów do potrzeb jednostki |
Art. 5 RODO | Powyższe dotyczy również modyfikacji dokumentów |
| 12. Monitorowanie powstawania kodeksów dobrych praktyk, stanowisk organu nadzorczego, wytycznych Europejskiej Rady Ochrony Danych Osobowych | Art. 5 RODO | Powstanie również nowy organ unijny: Europejska Rada Ochrony Danych. Jego zadaniem będzie dbanie o spójne stosowanie przepisów przez wszystkie organy nadzoru państw UE. W jego skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich lub ich przedstawiciele oraz Europejski Inspektor Ochrony Danych. Już teraz można przeczytać opracowane „Wytyczne dotyczące inspektorów ochrony danych”. Warto również śledzić stronę www.giodo.gov.pl, gdzie będą się pojawiać wytyczne, wskazówki, a może nawet wzory dokumentów |
| 13. Doskonalenie systemu |
Art. 5 RODO | Zawsze można optymalizować przyjęte zasady, szczególnie jeżeli będzie się zmieniać zasady w ochronie w taki sposób, żeby jeszcze sprawniej zapewniać ochronę danych |
Jeżeli administrator, czyli w imieniu placówki – dyrektor, nie wykona ww. czynności, to musi liczyć się z określoną odpowiedzialnością:
| Jaką odpowiedzialność przewiduje RODO? | ||
| Odpowiedzialność administracyjna | Odpowiedzialność karna | Odpowiedzialność cywilna |
| Kara pieniężna nałożona w drodze decyzji administracyjnej. Odwołanie do sądu administracyjnego. Przedszkola, szkoły i placówki publiczne – kara maksymalnie do 100 tys. zł. Przedszkola, szkoły i placówki niepubliczne – do 20 mln euro |
RODO nie wskazuje sankcji karnych. Dwa przepisy karne z nowej ustawy |
Odpowiada administrator – szkoda majątkowa lub niemajątkowa (krzywda) w wyniku naruszenia RODO. Można uchylić się, jeżeli administrator udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody |
| Czy można nakładać kary personalne? | ||
| NIE. Nie jest to odpowiedzialność indywidualna osoby fizycznej, tylko administratora, co jednak oczywiście przekłada się na sytuację osobistą dyrektora, szczególnie jeżeli dyrektor jest osobą prowadzącą |
NIE
|
NIE. Chodzi o odpowiedzialność administratora, a nie osobistą odpowiedzialność dyrektora |
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1).
