Dotychczasowa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 z późn. zm.) oraz wydane na jej podstawie przepisy wykonawcze zostaną zastąpione:
POLECAMY
- rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej RODO,ustawą o ochronie danych osobowych1.
Konieczność przygotowania się do stosowania nowych przepisów
Ponieważ od dnia 25 maja 2018 r. konieczne będzie wykonywanie wielu nowych zadań związanych z przetwarzaniem danych osobowych, jeszcze przed tym terminem w szkołach powinna nastąpić analiza przepisów oraz wewnętrzny przegląd tego, jakie dane osobowe są przetwarzane w danej placówce, w jaki sposób są gromadzone, jakie są podstawy prawne ich wykorzystywania i wykonywania na nich innych operacji, czy dane osobowe są komuś udostępniane oraz w jaki sposób są zabezpieczane. RODO kładzie szczególny nacisk na ochronę danych osobowych dzieci.
Osoba, która będzie uważała, że jej dane osobowe są lub były przetwarzane sprzecznie z przepisami, będzie miała możliwość wszczęcia postępowania zarówno przed PUODO, jak i przed sądem, np. w związku z ubieganiem się o odszkodowanie.
Najważniejsze zadania administratora danych osobowych (ADO)
Szkoły będą musiały przestrzegać podstawowych zasad dotyczących operacji prowadzonych na danych osobowych – muszą być zgodne z prawem i rzetelne. Dla osób fizycznych (w szczególności uczniów i ich rodziców, pracowników) powinno być jasne, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane.
Wiążą się z tym liczne zadania ADO, w tym przede wszystkim:
- Obowiązek wdrożenia (oraz w razie potrzeby dokonywania przeglądów i uaktualnień) odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z przepisami, np. przez wprowadzenie polityk ochrony danych, stosowanie mechanizmu certyfikacji, który będzie prowadzony przez nowy organ – Prezesa Urzędu Ochrony Danych Osobowych (PUODO, który ma zastąpić dotychczasowego GIODO) lub kodeksu postępowania zatwierdzonego przez PUODO itp. Nowe przepisy w tym zakresie nie zobowiązują do opracowania konkretnej dokumentacji ani nie dają wytycznych co do ich treści.
- Stosowanie odpowiednich środków technicznych i organizacyjnych, np. minimalizacja przetwarzania danych osobowych (dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), w razie potrzeby pseudonimizacja danych, nadanie przetwarzaniu niezbędnych zabezpieczeń, które powinny zostać rozważone i dobrane jeszcze przed rozpoczęciem przetwarzania danych, udzielenie dostępu do danych osobowych i ich przetwarzanie wyłącznie przez osoby upoważnione przez ADO i wykonujące operacje na jego polecenie, ustalenie terminów usuwania lub okresowego przeglądu danych osobowych (aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne). PUODO ma opracować i opublikować w BIP rekomendacje określające środki techniczne i organizacyjne, stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
- Prowadzenie rejestru czynności przetwarzania danych osobowych w formie pisemnej, w tym elektronicznej, w którym m.in. należy zamieścić cele przetwarzania; opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych oraz zastosowane środki techniczne i organizacyjne stosowane w celu ochrony danych. Obowiązek dotyczy podmiotów zatrudniających co najmniej 250 osób oraz – bez względu na liczbę zatrudnionych – przetwarzających szczególne kategorie danych osobowych, w tym dotyczące zdrowia.
- Zgłaszanie PUODO przypadków naruszenia ochrony danych osobowych bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (co ma być możliwe poprzez system teleinformatyczny), a także dokumentowanie takich naruszeń w sposób przyjęty przez ADO.
- Respektowanie praw osób, których dane są przetwarzane, w szczególności poprzez:
- zbierane danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, w tym niewynikającymi ze zgody na przetwarzanie danych osobowych, a także uzyskiwanie zgód na zasadzie wyraźnych i dobrowolnych oświadczeń (na ADO spoczywa obowiązek wykazania uzyskania wymaganych zgód) w przypadkach, gdy prawo do przetwarzania danych nie wynika z przepisu;
- przetwarzanie szczególnych kategorii danych osobowych (dotychczas nazywanych wrażliwymi danymi osobowymi) tylko w przypadkach dozwolonych prawem;
- wywiązywanie się z obowiązków informacyjnych ADO dotyczących pozyskiwania danych osobowych od osoby, której dotyczą, jak i z innych źródeł, m.in. o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania – w formie zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej (na piśmie, drogą elektroniczną, wyjątkowo ustnie), jasnym i prostym językiem, bez zbędnej zwłoki i nieodpłatnie; dość szeroki zakres tego obowiązku jest określony w art. 12 RODO;
- umożliwienie dostępu do zgromadzonych danych osobowych dotyczących konkretnej osoby, informacji o ich przetwarzaniu (celu, okresie itp.) oraz o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
- przekazanie w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które zgromadził ADO (np. w pliku), na wniosek danej osoby;
- realizację żądania oraz informowanie o uprawnieniach dotyczących możliwości domagania się:
- sprostowania danych,
- usunięcia danych – tzw. prawo zapomnienia przysługujące w przypadkach wymienionych w art. 17 RODO, w tym gdy dane nie są już niezbędne do celów, w których zostały zebrane lub gdy została cofnięta zgoda na ich przetwarzanie,
- ograniczenia przetwarzania danych – w przypadkach wymienionych w art. 18 RODO, np. gdy osoba kwestionuje prawidłowość danych;
- rozpatrzenie sprzeciwu wobec przetwarzania danych osobowych dotyczących szczególnej sytuacji osoby, której dane są przetwarzane, w celu wykonania zadania realizowanego w interesie publicznym lub ze względu na prawnie uzasadnione interesy ADO.
Ze względu na rozbudowane obowiązki ADO zostanie natomiast zniesiony dotychczasowy wymóg dokonywania zgłoszenia zbiorów danych osobowych organowi państwowemu.
Inspektor ochrony danych osobowych
Dotychczas na zasadzie dobrowolności szkoła jako administrator danych osobowych mogła powołać administratora bezpieczeństwa informacji. Po zmianach funkcja ta zostanie zastąpiona funkcją inspektora ochrony danych osobowych (IODO). W publicznych szkołach prowadzonych w formie jednostek budżetowych jego powołanie będzie obowiązkowe, natomiast w pozostałych placówkach publicznych i niepublicznych – dobrowolne (art. 37 RODO, art. 4 projektu ustawy). Kilka placówek może mieć jednego wspólnego IODO. Do wykonywania omawianej funkcji wymagane jest posiadanie wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia wymienionych poniżej zadań. IODO może być pracownikiem szkoły (lub szkół) lub wykonywać zadania na podstawie umowy o świadczenie usług, ale w zakresie swoich obowiązków nie może otrzymywać instrukcji dotyczących wykonywania tych zadań. Szkoła powinna poinformować PUODO o wyznaczeniu IODO i podać jego dane osobowe, w tym kontaktowe, a także zgłaszać wszelkie zmiany w tym zakresie w terminie 14 dni.
Do zadań IODO należy:
- informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO i innych przepisów,
- monitorowanie przestrzegania RODO i innych przepisów oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
- udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania, jeżeli w szkole ma być wdrożony rodzaj przetwarzania danych, w szczególności z użyciem nowych technologii, który ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
- współpraca z PUODO oraz pełnienie funkcji punktu kontaktowego dla PUODO w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
- pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.
Powołane rozporządzenie nie nakłada na IODO obowiązku sporządzania sprawozdań ani nie określa dokumentacji, jaką miałby prowadzić. Jest to uzależnione od wewnętrznej organizacji szkoły.
Konsekwencje naruszenia nowych regulacji
Za brak wdrożenia i przestrzegania przepisów chroniących dane osobowe RODO i projekt ustawy przewidują dotkliwe kary finansowe, które mają być proporcjonalne do skali naruszenia przepisów: maksymalnie 100 000 zł w przypadku szkoły samorządowej, zaś w pozostałych szkołach, w zależności od rodzaju naruszonych obowiązków, wagi czy czasu trwania naruszenia – aż do 10 lub do 20 mln euro. W przypadku gdy waga naruszenia będzie znikoma, PUODO będzie mógł poprzestać na udzieleniu upomnienia. Ponadto odpowiedzialność będzie ponosił bezpośrednio ADO, także w razie powołania IODO czy powierzenia przetwarzania danych osobowych pracownikom lub podmiotowi zewnętrznemu. Osoba, która będzie uważała, że jej dane osobowe są lub były przetwarzane sprzecznie z przepisami, będzie miała możliwość wszczęcia postępowania zarówno przed PUODO, jak i przed sądem, np. w związku z ubieganiem się o odszkodowanie.
