Unijne przepisy wprowadzą rewolucję w zasadach przetwarzania danych osobowych przez szkoły i placówki oświatowe. Chociaż obowiązują od 25 maja 2018 r., warto już zacząć przygotowania do ich wdrożenia, bo spóźnienie może słono kosztować.

 RODO to Ogólne rozporządzenie o ochronie danych osobowych, które odmienią sytuacje podmiotów przetwarzających dane osobowe. Dotyczyć to będzie wszystkich bez względu na wielkość.

Nowe regulacje zawiera rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej  RODO). Należy podkreślić, że unijne rozporządzenie nie wymaga podjęcia dodatkowych czynności przez polskie władze – obowiązuje bezpośrednio, dlatego wszystkie podmioty – w tym także szkoły i placówki oświatowe – muszą dostosować procedury do zawartych w nim przepisów.

Zmiana ta niesie za sobą poważne sankcje, jakimi będą objęte podmioty, które nieskutecznie będą chronić dane osobowe. Trzeba wskazać kary te są niemałe! Odczuwalne dla sektora publicznego i prywatnego. Ważnym jest to, że jeżeli firma posiada oddział w innym z krajów członkowskich Unii, organy tego państwa mają możliwość weryfikowania prawidłowości przetwarzania danych osobowych. A co za tym idzie, mogą nakładać kary za m.in.„brak zastosowania

odpowiednich do ryzyk i zagrożeń środków organizacyjnych i technicznych, zabezpieczających przetwarzanie danych w tym braku szyfrowania”.
Kary będą mogły wynieść odpowiednio do 10 000 000 euro i do 20 000 000 euro, a w przypadku przedsiębiorstw nie więcej niż odpowiednio do 2% lub 4% światowego obrotu.
Jest to wyzwanie – dla każdej organizacji, w tym JST. A dziś należy stwierdzić bez przesady, wręcz jednoznacznie – zostało naprawdę mało czasu, a pracy w procesie sprostania wymogom, sporo!

Podstawy prawne

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „rozporządzeniem”;
  • dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w z związku przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, zwana dalej „dyrektywą”.

Do najważniejszych regulacji zawartych w rozporządzeniu można zaliczyć:

  • zdefiniowanie pojęcia „danych wrażliwych”. W definicji tego rodzaju danych wskazano pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne pozwalające na identyfikację osoby, dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
  • lepszą kontrolę, jaką obywatele mają nad własnymi danymi, np. poprzez wzmocnienie obowiązku informacyjnego, wprowadzenie prawa do przenoszenia danych, czy też „prawa do bycia zapomnianym”.

Przepisy rozporządzenia przewidują, iż możliwe będzie zażądanie od administratora danych informacji o tym, jakie dane o nas są w jego posiadaniu, jak również otrzymania danych zapisanych w powszechnie wykorzystywanym formacie i przeniesienie ich do innego administratora bez przeszkód ze strony obecnego, któremu dostarczono te dane („prawo do przenoszenia danych”). W przypadku „prawa do bycia zapomnianym” nałożono m.in. na administratora danych osobowych, który dokonał ich upublicznienia obowiązek ich usunięcia i podjęcia działań, mających na celu poinformowanie innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, aby administratorzy usunęli wszelkie łącza do tych danych, czy też kopie tych danych osobowych;

  • objęcie europejskimi przepisami z zakresu ochrony danych także organizacji spoza UE, które oferują swoje towary i usługi w UE, bądź monitorują na tym terytorium zachowanie internautów. Takie rozwiązanie ma zagwarantować osobom na terytorium UE jednolitą ochronę, niezależnie od tego, skąd pochodzi podmiot przetwarzający ich dane;
  • wzmocnienie ochrony danych osobowych przekazywanych z terytorium UE do państw trzecich przy jednoczesnym usankcjonowaniu nowych instrumentów ułatwiających transgraniczne przekazywanie danych (tj. wiążących reguł korporacyjnych oraz standardowych klauzul umownych);
  • zmniejszenie obciążeń administracyjnych, w szczególności poprzez zniesienie obowiązku wcześniejszego zawiadamiania organów ochrony danych o przetwarzaniu danych oraz wprowadzenie tzw. „podejścia opartego na ocenie ryzyka”, zgodnie z którym obciążenia regulacyjne będą uzależnione od ryzyka, jakie wynika z danego przetwarzania;
  • wprowadzenie obowiązku zwiększonej współpracy pomiędzy krajowymi organami ochrony danych, co wpłynie na ujednolicenie stosowania przepisów o ochronie danych na terenie wszystkich państw UE i ułatwi funkcjonowanie przedsiębiorcom prowadzającym działalność w więcej niż jednym państwie członkowskim. Współpraca na bazie jednolitych regulacji przyczyni się do efektywnego wykorzystania posiadanych przez te organy zasobów oraz doświadczenia;
  • wprowadzenie nowej funkcji, tzw. „Inspektora Ochrony Danych” , w miejsce obecnie funkcjonującego ABI (Administratora Bezpieczeństwa Informacji), który będzie wyznaczany w jednostkach publicznych oraz gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania danych na dużą skalę;
  • promowanie mechanizmów zwiększających ochronę praw i wolności osób fizycznych w związku z przetwarzaniem danych poprzez wdrażanie odpowiednich środków technicznych i organizacyjnych, które są zgodne z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń ochrony danych;
  • wyposażenie organów ochrony danych w uprawnienie do nakładania kar pieniężnych za nieprzestrzeganie przepisów rozporządzenia, co ma w założeniu wpłynąć na zwiększenie skuteczności ich stosowania.

Obowiązkowa współpraca z inspektorem ochrony danych
Szkoły, przedszkola i placówki oświatowe  na co dzień przetwarzają ogromne ilości danych o uczniach, nauczycielach i innych pracownikach (np. numery PESEL, dane o miejscu zamieszkania, daty urodzenia). Działalność jednostek oświatowych w tym zakresie regulują przepisy ustawy  dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), według której szkoły są administratorami danych osobowych, a osobą odpowiedzialną za prawidłowe przetwarzanie chronionych jest dyrektor danego podmiotu.
Te kwestie nie ulegną zmianie po wejściu w życie nowych przepisów o ochronie danych osobowych, nad którymi pracuje obecnie resort cyfryzacji (projekt dostosuje polskie przepisy do zapisów wprowadzanych przez RODO).

Chociaż obecnie obowiązujące przepisy już określają zasady powoływania specjalistów, którzy zajmują się przetwarzaniem danych osobowych w placówce, zatrudnianie administratora bezpieczeństwa danych osobowych nie jest obowiązkowe. Zmieni się to wraz z wejściem w życie RODO – administratora zastąpi obowiązkowo powoływany inspektor ochrony danych osobowych (IOD), o czym przesądza art. 37 ust. 1 lit. a RODO.

Jak powinien wyglądać czas przygotowań?
Zgodnie z art. 99 ust. 2 rozporządzenia – ma ono zastosowanie od dnia wejścia zmian w ochronie danych osobowych, czyli od  25 maja 2018 roku.

Większość szkół korzysta z usług podmiotów zewnętrznych, którym udostępnia część danych uczniów i pracowników. Dzieje się tak choćby w przypadku dzienników elektronicznych, które często prowadzone są przez firmy udostępniające oprogramowanie i umieszczane są na należących do nich serwerach. Dane osobowe pracowników przekazywane są natomiast podmiotom zajmującym się obsługą księgową szkół oraz Centrom Usług Wspólnych, jeżeli takie działają na terenie jednostki samorządu terytorialnego.

Firmy, którym placówki zlecają wspomniane zadania, to tzw. podmioty przetwarzające – RODO wymaga, by zasady ich współpracy ze szkołami precyzyjnie określone. Przepisy unijnego rozporządzenia wspominają o umowie lub innym instrumencie prawnym, który wskazuje: przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także jaki jest cel przetwarzania informacji.
Oznacza to, że placówki oświatowe do przyszłego roku będą musiały skontrolować zawarte z podwykonawcami umowy. Przepisy RODO zakazują zewnętrznym firmom przekazywania informacji innym podmiotom bez uzyskania zgody administratora danych osobowych.

Przetwarzanie niektórych danych tylko za zgodą

Chociaż szkoła nie jest przedsiębiorcą i nie będzie musiała uzyskiwać zgody na przetwarzanie większości danych osobowych – uprawnienia w tym zakresie wynikają bowiem przede wszystkim z prawa oświatowego. Inaczej będzie w sytuacjach, gdy takiej podstawy prawnej nie ma – choćby w przypadku udostępniania wizerunku i danych podopiecznych na stronach internetowych i portalach społecznościowych.
To samo w sobie nie jest może nowością, ale RODO zawiera dalej idące rozwiązania w zakresie wyrażania zgody na przetwarzanie danych osobowych.
W rozporządzeniu sprecyzowane zostały wymogi dotyczące wyrażania i wycofywania zgody na przetwarzanie danych – RODO precyzuje m.in., że wycofanie zgody musi być tak samo łatwe, jak jej udzielenie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego już dokonano.

Szczegółowe przepisy dotyczą także wyrażania zgody na przetwarzanie danych osobowych dzieci – należy pamiętać,

że w przypadku tzw. usług społeczeństwa informacyjnego (portale społecznościowe, mailingi) kierowanych do dzieci, konieczne będzie uzyskanie zgody tego dziecka, jeżeli ukończyło ono 16 lat. Młodsze dzieci wyręczy opiekun prawny.

Pomimo zwiększonego bezpieczeństwa, a co za tym idzie większych obowiązków przetwarzających danymi urzędników państwowych i prywatnych przedsiębiorców, a więc także nauczycieli wszystkich szkół, zwiększenie możliwości kontroli danych osobowych przyczyni się do wzrostu zaufania do usług świadczonych przez podmioty prywatne i publiczne. Osoby, mając poczucie, iż ich dane są lepiej chronione, częściej i chętniej będą korzystali z usług i aplikacji społeczeństwa informacyjnego.

Share This