Od dnia 30 kwietnia 1998 r., tj. od dnia wejścia w życie przepisów ustawy o ochronie danych osobowych, szkoły podlegają przepisom ustawy, gdyż przetwarzają dane osobowe nie tylko uczniów, ale także nauczycieli, pracowników administracji i obsługi, rodziców uczniów1. Ustawa ta niebawem przestanie obowiązywać w dotychczasowym brzmieniu2, a przed szkołami nowe wyzwanie, jakim jest podjęcie działań w celu właściwego przygotowania się do wdrożenia unijnych przepisów dotyczących danych osobowych, które wejdą w życie w dniu 25 maja 2018 r.
Z tym dniem zacznie bowiem obowiązywać nowe rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane dalej rozporządzeniem. Rozporządzenie zastąpi dotychczasowe przepisy o ochronie danych osobowych. Zmieni dotychczasowe uregulowania w zakresie podstaw prawnych przetwarzania danych, zasady powierzenia przetwarzania danych, informowania osób, których dane dotyczą. Nakłada nowe obowiązki na administratorów danych. Wprowadza obowiązek wyznaczenia inspektora danych osobowych w każdej publicznej szkole oraz nowy sposób egzekwowania przepisów w zakresie ochrony danych.
Przewiduje bardzo wysokie kary za nieprzestrzeganie i możliwość dochodzenia odszkodowania przez podmioty danych.
Po zmianie przepisów w zakresie ochrony danych osobowych najważniejsze „nowe” obowiązki dyrektora szkoły będą następujące:
1. Wyznaczenie inspektora ochrony danych
Dotąd dyrektor szkoły mógł powołać administratora bezpieczeństwa informacji (ABI), czyli osobę, która w jego imieniu zarządzała ochroną danych w szkole. Rozporządzenie ustanawia instytucję inspektora ochrony danych (IOD), którego zadania będą zbliżone do zadań administratora bezpieczeństwa informacji. W przypadku publicznych szkół powołanie inspektora ochrony danych będzie obowiązkowe.
Zgodnie z rozporządzeniem osoba, która będzie pełniła tę funkcję, musi posiadać rozległą wiedzę fachową na temat prawa i praktykę (doświadczenie) w sferze ochrony danych. Dyrektorzy publicznych szkół powinni zaplanować powołanie inspektora ochrony danych jeszcze przed wejściem w życie rozporządzenia. Na mocy tego rozporządzenia dyrektor jako administrator ochrony danych zobowiązany został do powołania w kierowanej przez siebie szkole inspektora ochrony danych i udzielania mu wsparcia w zakresie zadań, jakie zostaną mu powierzone. Wyznaczenie inspektora ochrony danych (obecnego ABI) w szkołach nie będzie jak dotąd uprawnieniem, ale obowiązkiem. W przypadku wielu szkół dotychczasowy ABI będzie po wejściu w życie przepisów RODO pełnił funkcję IOD3. Aby jednak było to możliwe, ABI musi zostać przez dyrektora szkoły wyznaczony na nowe stanowisko.
2. Wdrożenie odpowiednich środków technicznych i organizacyjnych
Dyrektor szkoły ma również obowiązek wdrożyć takie mechanizmy ochrony danych osobowych, które będą zgodne z rozporządzeniem. Do tych mechanizmów można zaliczyć między innymi zasadę rozliczalności danych osobowych oraz zasadę minimalizacji, o których mowa w art. 6 ust. 1 rozporządzenia.
- Wdrożenie zasady rozliczalności polega na przestrzeganiu przez dyrektora szkoły przepisów w sposób określony w art. 6 ust. 1 rozporządzenia i wykazaniu ich przestrzegania. Zgodnie z przywołanym przepisem dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości),
- prawidłowe i w razie potrzeby uaktualnianie (zasada prawidłowości),
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu),
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, tylko przez okres nie dłuższy niż jest to niezbędne do realizacji celów, dla których dane te są przetwarzane (zasada ograniczenia przechowywania),
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, w przypadku awarii sprzętu, jego kradzieży, klęsk żywiołowych (zasada integralności i poufności),
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji).
W aktualnym stanie prawnym4 wymogiem jest, aby dyrektor szkoły jako administrator danych prowadził dokumentację przetwarzania danych osobowych. Realizacja tego obowiązku odbywa się poprzez wprowadzenie w szkole polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Środki techniczne, jakie dyrektor w tym zakresie musiał zastosować, zostały dość szczegółowo opisane w powołanym rozporządzeniu MSWiA z 2004 r. Wprowadziło one różne wymagania, w zależności od tego, jakie dane podlegają przetwarzaniu. W celu zapewnienia najwyższego poziomu bezpieczeństwa dyrektor został zobowiązany do kontroli przepływu informacji pomiędzy systemem informatycznym istniejącym w jego szkole a siecią publiczną. W celu zapewnienia średniego poziomu bezpieczeństwa określał stosowanie haseł uwierzytelniających, nie krótszych niż 8 znaków, zawierających wielkie i małe litery oraz cyfry.
Rozporządzenie stanowi, że dyrektor szkoły będzie miał swobodę w doborze i wdrożeniu środków organizacyjnych i technicznych. Szczególnie istotne jest to, aby środki wykorzystywane przez dyrektora zapewniały bezpieczeństwo przetwarzanych danych osobowych, a także aby mógł udowodnić skuteczność tych środków w razie kontroli Urzędu Ochrony Danych Osobowych (UODO)5. Oznacza to, że dyrektor szkoły ma obowiązek wdrożenia takich środków technicznych i organizacyjnych, które gwarantują przetwarzanie danych zgodnie z przepisami. W tym celu może na przykład wprowadzić politykę ochrony danych. Co szczególnie istotne, nowe przepisy w tym zakresie nie zobowiązują dyrektora szkoły do opracowania konkretnej dokumentacji, nie dają również konkretnych wskazówek co do ich formy i treści. W związku z powyższym dyrektor szkoły może podjąć decyzję o wykorzystywaniu w tym celu dotychczasowej dokumentacji. Warto jednak sprawdzić, czy nie wymaga ona uzupełnienia lub modyfikacji.
Przykładowymi środkami technicznymi lub organizacyjnymi mogą być pseudonimizacja i szyfrowanie danych osobowych lub zdolność do ciągłego zapewnienia poufności i integralności systemów przetwarzania (kopie bezpieczeństwa). Pseudonimizacja jest nowym środkiem zabezpieczenia danych. W aktualnie obowiązujących przepisach środek ten nie występuje. Polega na użyciu np. znaku lub liczby zamiast imienia i nazwiska konkretnej osoby, a bez użycia odpowiedniego kodu nie będzie możliwa identyfikacja danej osoby. Innym środkiem może być możliwość przywrócenia dostępności danych osobowych i dostępu do nich w razie wystąpienia incydentu fizycznego lub technicznego. Aby mieć pewność, że poprawność zastosowanych środków technicznych i organizacyjnych jest zapewniona, dyrektor szkoły powinien regularnie dokonywać oceny ich skuteczności. Zgodnie z zasadą minimalizacji przetwarzania danych dyrektor szkoły musi nadać niezbędne zabezpieczenia, które powinny zostać rozważone i dobrane jeszcze na etapie przygotowania do ich wdrożenia. Udzielenie dostępu do danych osobowych i ich przetwarzanie może odbywać się tylko przez osoby upoważnione przez dyrektora i wykonujące określone operacje na jego polecenie. Szczególnie istotne jest także ustalenie terminów usuwania lub okresowego przeglądu danych osobowych.
3. Prowadzenie rejestru czynności przetwarzania danych
Prowadzenie rejestru czynności dotyczących przetwarzania danych osobowych będzie obowiązkowe w przypadku, gdy szkoła przetwarza szczególne kategorie danych osobowych (w aktualnym stanie prawnym dane określane jako dane sensytywne lub dane wrażliwe), do których zalicza się m.in. następujące informacje: pochodzenie rasowe i etniczne, przynależność do związków zawodowych lub partii politycznych, poglądy polityczne, przekonania religijne czy światopoglądowe, stan zdrowia, kod genetyczny, dane biometryczne. Jeśli osoba, której tego typu dane miałyby być przetwarzane, wyrazi zgodę, to bez przeszkód można je będzie przetwarzać. Przetwarzanie szczególnych kategorii danych osobowych nakłada na dyrektora szkoły obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych w formie pisemnej, w tym elektronicznej. W rejestrze tym, zgodnie z RODO, należy zamieścić w szczególności:
- cele przetwarzania danych,
- opis kategorii osób, których dane dotyczą,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- planowane terminy usunięcia poszczególnych kategorii danych – o ile to możliwe,
- zastosowane środki techniczne i organizacyjne stosowane w celu ochrony danych.
Od dnia 25 maja 2018 r. zniknie obowiązek rejestracji zbiorów danych osobowych. W dotychczasowym stanie prawnym dyrektor szkoły ma obowiązek dokonania rejestracji zbiorów w GIODO na formularzu, którego wzór stanowi załącznik do rozporządzenia w sprawie wzoru zgłoszenia zbioru danych do rejestracji6.
