Ochrona danych osobowych - TDTS

Ochrona danych osobowych w szkołach i placówkach oświatowych

01 Wprowadzenie

Właściwe funkcjonowanie szkół i placówek oświatowych nie jest możliwe się bez wykorzystywania danych osobowych. Wiąże się to z koniecznością prze-strzegania przepisów o ochronie danych osobowych, które w Polsce obowiązują już od ponad dwudziestu lat. Od 25 maja 2018 r. wszystkie szkoły i placówki oświatowe są związane nowymi przepisami unijnego, ogólnego rozporządzenia o ochronie danych1, zwanego dalej „RODO”. Zastąpiło ono dotychczasową ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych2. RODO bazując na istniejących wcześniej rozwiązaniach prawnych, z jednej strony nakłada na szkoły i placówki oświatowe zupełnie nowe obowiązki, z drugiej zaś rezygnuje z części dotychczasowych wymogów, bądź je racjonalizuje. Urząd Ochrony Danych Osobowych we współpracy z Ministerstwem Edukacji Narodowej przygotował niniejszy poradnik, aby pomóc dyrektorom szkół i placówek oświatowych w zapewnieniu przestrzegania nowych regulacji o ochronie danych osobowych. Poradnik jest kontynuacją materiału, który był wcześniej publikowany przez Generalnego Inspektora Ochrony Danych Osobowych w ramach Programu Edukacyjnego „Twoje dane - twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniów i nauczycieli”. Poradnik zawiera zaktualizowane wskazówki, dotyczące przetwarzania danych osobowych dzieci, ich rodziców lub opiekunów prawnych, nauczycieli, a także innych pracowników szkół i placówek oświatowych. W opracowaniu wskazano podstawowe zasady, jakich dyrektorzy szkół i placówek oświatowych powinni przestrzegać, przetwarzając dane osobowe. Opisano też, jak przepisy RODO i sektorowych aktów prawnych zastosować w konkretnych sytuacjach. Poradnik odnosi się przede wszystkim do publicznych szkół i placówek oświatowych, jednakże w dużym stopniu może być też przydatny w pracy szkół i placówek niepublicznych3. Jeśli uważają Państwo, że warto, by przedstawiony materiał został rozbudowany o inne zagadnienia, zachęcamy do ich zgłaszania na adres zas@uodo.gov.pl.

Część 1

Obowiązki dyrektora szkoły w zakresie danych osobowych

• Szkoły oraz placówki oświatowe w swojej działalności wykorzystują dane osobowe uczniów, ich rodziców, nauczycieli i pozostałych pracowników szkoły oraz innych osób, np. zaproszonych gości na uroczystości szkolne, innych członków rodziny dziecka. Oznacza to, że są one zobowiązane do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO).

1.1 Pojęcie danych osobowych

Na wstępie należy wyjaśnić samo pojęcie danych osobowych. Według RODO, dane osobowe oznaczają in-formacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba taka to osoba, którą można bezpośrednio lub pośrednio zidentyfikować np. na podstawie: imienia i nazwiska, cech fizycznych albo genetycznych, a także szeregu innych właściwości. Do danych osobowych zalicza się również informacje do-tyczące osób fizycznych prowadzących działalność gospodarczą.

• „Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

RODO stosuje się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz w przypadku przetwarzania w sposób inny niż zautomatyzowany, np. w formie tradycyjnej - papierowej, jeżeli dane stanowią lub mogą stanowić część zbioru. Przykładami takich zbiorów danych w szkole są: dzienniki lekcyjne, listy zatrudnionych pracowników, księga ewidencji dzieci, księga uczniów, dzienniki zajęć w świetlicy, arkusze ocen ucznia, księgi arkuszy ocen, które są prowadzone zarówno w systemie informatycz-nym, jak i przetwarzane tradycyjnie.

Zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie C-434/16 Nowak pojęcie danych osobowych obejmuje także pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu za-wodowego i ewentualne naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi.

Dane osobowe dzielą się na trzy kategorie:

a) dane tzw. zwykłe, takie jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, wykonywany zawód, wizerunek, adres e-mail itp., b) szczególne kategorie danych osobowych (uprzednio zwane danymi wrażliwymi), wymienione w art. 9 RODO ujawniające: - pochodzenie rasowe lub etniczne, - poglądy polityczne, - przekonania religijne lub światopoglądowe, - przynależność do związków zawodowych, - dane genetyczne, - dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, - dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby, c) dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bez-pieczeństwa wymienione w art. 10 rozporządzenia (uprzednio również zaliczane do danych wrażliwych).

1.2 Administrator

Kolejnym ważnym pojęciem, które należy zdefiniować jest pojęcie administratora, gdyż to przede wszystkim na niego nakłada się obowiązki związane z ochroną danych osobowych. W świetle RODO może nim być osoba fizyczna, osoba prawna, organ publiczny, jednostka organizacyjna i inne podmioty, które decydują o celach i sposobach przetwarzania danych. Należy jednak pamiętać, że to dyrektor szkoły reprezentujący administratora (tj. szkołę) ma zapewnić zgodne z prawem przetwarzanie danych osobowych, jak również to on ponosi odpowiedzialność za działania wszyst-kich osób upoważnionych do przetwarzania danych osobowych w jednostce. Nie należy zapominać, że odpo-wiednie zarządzanie danymi osobowymi stanowi element odpowiedzialnego oraz dobrego zarządzania pla-cówką. Ma to też istotny wpływ na budowanie odpowiednich relacji z uczniami oraz ich rodzicami lub opie-kunami.

1.3 Podstawowe zasady ochrony danych osobowych

RODO wprowadza obowiązek przestrzegania następujących zasad ochrony danych osobowych, zgodnie z którymi dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych);

d) prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość); e) przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).

1.4 Obowiązki szkoły w zakresie ochrony danych osobowych

Szkoła lub placówka oświatowa zobowiązana jest do przestrzegania zasad ochrony danych osobowych, w tym m.in. do: - spełnienia względem osób, których dane dotyczą, obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO, - zabezpieczenia danych osobowych przez zastosowanie odpowiednich środków technicznych i organizacyjnych, tak aby dane te nie były udostępniane osobom nieupoważnionym oraz aby dane te były chronione przed zniszczeniem albo utratą (np. poprzez szyfrowanie danych, pseudonimizację, zapewnienie integralności i poufności danych), - respektowania praw osób, których dane są przetwarzane, np. udzielania informacji co do celów, sposobów, źródeł, zakresu przetwarzania danych osobowych, spełniania żądań sprostowania, uaktualnienia albo uzupełnienia czy też czasowego wstrzymania ich przetwarzania, - wyznaczenia inspektora ochrony danych, co opisane zostało w art. 37 RODO. Szkoła powinna opublikować dane inspektora ochrony danych i powiadomić o jego powołaniu organ nadzorczy, czyli Prezesa UODO. RODO wymaga, by inspektor posiadał fachową wiedzę na temat prawa oraz praktyki w zakresie ochrony danych. Jego stanowisko ma samodzielny i niezależny charakter.

1.5 Legalność przetwarzania danych osobowych w szkole

Na gruncie RODO przez przetwarzanie danych osobowych należy rozumieć każdą czynność wykonywaną na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, np.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie danych, pobieranie, przeglą-danie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie, łączenie, ograniczanie, usuwanie lub niszczenie danych.

Przetwarzanie danych osobowych zwykłych jest zgodne z prawem wyłącznie wtedy, gdy: - osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie, - przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub jest konieczne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, - przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, - przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, - przetwarzanie jest niezbędne do wykonywania zadania realizowanego w interesie publicznym, - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub prawa i wolności osoby, której dane dotyczą. Na przesłankę prawnie uzasadnionego interesu realizowanego przez administratora lub osobę trzecią nie mogą się powołać organy publiczne w ramach wykonywania swoich zadań.

Jeżeli przetwarzanie danych odbywa się na podstawie zgody, szkoła lub placówka oświatowa musi być w stanie wykazać, że osoba, której dane dotyczą (lub w przypadku osób niepełnoletnich – jej opiekun prawny), wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli oświadczenie zgody jest zawarte w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Bardzo ważne jest to, że zgoda może być w dowolnym momencie wycofana. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed je wycofaniem. O możliwości wycofania zgody należy poinformować osobę, której dane dotyczą, zanim wyrazi zgodę, a wycofanie zgody musi być równie łatwe jak jej wyrażenie.Ważne!„Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Na szczególną uwagę zasługuje problematyka przetwarzania szczególnych kategorii danych. Przetwarzanie ich jest co do zasady zabronione, aczkolwiek art. 9 ust. 2 RODO przewiduje zamknięty katalog przesłanek, a spełnienie choć jednej uprawnia szkołę do przetwarzania tego rodzaju danych osobowych. W przypadku szkoły będą to najczęściej: - udzielenie przez osobę, której dane dotyczą, lub przez jej opiekuna prawnego (w przypadku niepełno letnich), wyraźnej zgody na przetwarzanie danych w konkretnym celu lub celach, - niezbędność przetwarzania danych do wypełnienia obowiązków i wykonywania poszczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia socjalnego i społecznego; - niezbędność przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, o ile osoba, której dane dotyczą jest niezdolna do wyrażenia zgody; - przetwarzanie danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; - niezbędność przetwarzania danych ze względów związanych z ważnym interesem publicznym, o ile przepisy nie naruszają istoty prawa do ochrony danych; - niezbędność przetwarzania danych do celów oceny zdolności pracownika do pracy; - niezbędność przetwarzania danych do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych.

Szkoła w ramach określonych tymi przepisami może przetwarzać dane osobowe: uczniów i ich opiekunów prawnych (np. rodziców), nauczycieli, innych niż nauczyciele pracowników pedagogicznych, pracowników niebędących nauczycielami zatrudnionych w szkołach prowadzonych przez jednostki samorządu terytorialnego, osób niebędących nauczycielami – asystentów nauczycieli, wolontariuszy itp.

Szkoła, reprezentowana przez swojego dyrektora, przetwarza dane na podstawie przepisów odnoszących się ściśle do funkcjonowania oświaty. Przede wszystkim są to:

• Prawo oświatowe;
• Karta Nauczyciela6;
• ustawa o systemie oświaty;
• ustawa o systemie informacji oświatowej;
• ustawa o finansowaniu zadań oświatowych;
• rozporządzenia do ww. ustaw.

1.6 Bezpieczeństwo przetwarzania danych osobowych

Jednym z obowiązków szkoły wynikającym z RODO jest właściwe zabezpieczenie danych osobowych. Szkoła zobowiązana jest, zgodnie z art. 32 RODO, przy uwzględnieniu różnych czynników o charakterze technicznym oraz organizacyjnym, zapewnić należyte bezpieczeństwo przetwarzanych danych oraz prowadzić rejestr czynności przetwarzania zgodnie z art. 30 RODO.

Przykładowe środki służące zabezpieczeniu danych to: - pseudonimizacja i szyfrowanie danych osobowych, - zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, - zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie uszkodzenia fizycznego lub technicznego, - regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. RODO nie zawiera szczegółowych wymogów dotyczących organizacyjnego i technicznego zabezpieczenia danych osobowych, lecz określa jedynie ogólne zasady w tym zakresie. Środki te powinny być dostosowane do zidentyfikowanych ryzyk w organizacji oraz uwzględniać aktualny stan wiedzy w tym zakresie. Publiczne szkoły oraz publiczne placówki oświatowe powinny wziąć pod uwagę wymogi określone przepisami rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

1.7 Dokumentacja przetwarzania danych osobowych

Szkoła i placówka oświatowa jest zobowiązana prowadzić dokumentację opisującą sposób przetwarzania i zabezpieczenia danych osobowych. Jednak w odróżnieniu od dotychczasowych przepisów RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych. Wymaga jednak, aby zastosowane środki bezpieczeństwa i wszystkie podejmowane w tym zakresie działania można było wykazać. RODO mówi jedynie ogólnie o wdrożeniu przez administratora odpowiednich polityk ochrony danych, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania. RODO bardziej konkretnie wskazuje na: dokumentowanie przeprowadzenia oceny skutków dla ochrony danych, wprowadzenie procedury postępowania w razie naruszenia ochrony danych, czy prowadzenie rejestru czynności przetwarzania danych osobowych. Szkoły i placówki oświatowe dotąd opracowywały i stosowały politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Ta dokumentacja, po pewnych modyfikacjach, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO.

1.8 Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych

RODO przewiduje, że administratorzy mają obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Art. 30 RODO wskazuje jego obligatoryjne elementy. Ze względu na charakter przetwarzania da-nych osobowych przez szkoły i placówki oświatowe należy przyjąć, że mają one obowiązek prowadzenia re-jestru czynności przetwarzania. W celu ułatwienia realizacji tego zadania UODO przygotował szablony rejestru czynności przetwarzania wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku. Przedstawionych szablonów rejestrów nie należy traktować jako jedynych prawidłowych wzorów. Ze względu na różnorodność administratorów, sektorów, w których działają i procesów przetwarzania danych, które pro-wadzą oraz innych czynników, w praktyce może występować wiele różnych modeli (struktur) rejestru czyn-ności. Ważne, żeby w każdym przypadku administrator lub podmiot przetwarzający był w stanie przedstawić wymagane w art. 30 ust. 1 i 2 RODO elementy w odniesieniu do wszystkich prowadzonych procesów prze-twarzania danych osobowych, w sposób czytelny i przejrzysty. Przykładowy szablon rejestru czynności przetwarzania w szkole na gruncie RODO można znaleźć w materiale dostępnym pod adresem:

1.9 Obowiązek szkoły - zgłaszanie naruszeń ochrony danych

Nowością w porównaniu z dotychczasowym stanem prawnym jest pojawienie się wynikającego z art. 33 RODO obowiązku zgłaszania naruszeń ochrony danych osobowych Prezesowi UODO. Przez pojęcie naruszenia ochrony danych należy rozumieć naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO). Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki: - naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie; - skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych; - naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Można wyróżnić trzy typy naruszenia ochrony danych osobowych: - naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie; Przykład: Przypadkowe wysłanie danych osobowych ucznia do niewłaściwego rodzica. - naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych; Przykład 1: Zgubienie lub kradzież nośnika zawierającego kopię danych kontaktowych rodziców. Przykład 2: Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane z e-dziennika. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu. - naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany. Przykład: Pracownik szkoły przez pomyłkę zmienia nazwiska rodziców uczniów poprzez dopisanie litery „s” na końcu każdego z nich.Ważne!W przypadku naruszenia administrator danych osobowych niezwłocznie (w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia) zgłasza je Prezesowi UODO, chyba że jest mało prawdopodobne, żeby naruszenie powodowało uszczerbek w prawach lub wolnościach osób fizycznych.

Zgłoszenie naruszenia organowi nadzorczemu powinno, co najmniej zawierać takie informacje, jak: - charakter naruszenia, w tym w miarę możliwości rodzaj danych oraz przybliżoną liczbę osób, których naruszenie dotyczy, - imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, - przewidywane konsekwencje naruszenia ochrony danych osobowych, - zastosowane lub proponowane środki w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środki służące zminimalizowaniu ewentualnych negatywnych skutków naruszenia.

Zgodnie z art. 34 pkt 1 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zatem administrator jest zobowiązany do zawiadomienia osoby, której dane dotyczą, gdy spełnione zostaną łącznie dwie przesłanki: - dojdzie do naruszenia ochrony danych osobowych; - może ono powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się i by faktycznie doszło do naruszenia praw lub wolności; dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczający jest fakt samego pojawienia się wysokiego ryzyka naruszenia praw lub wolności. RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować przedmiotowy obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO. Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie im podjęcia niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Jako przykład można wskazać wyciek haseł bankowych, w przypadku którego reakcja banku powinna być natychmiastowa.

1.10 Wyznaczenie inspektora ochrony danych

Co do zasady wyznaczenie inspektora ochrony danych (IOD) jest uprawnieniem administratora. Jednak RODO wskazuje przypadki, w których istnieje obowiązek wyznaczenia IOD, w szczególności art. 37 ust. 1 lit. a RODO wskazuje, że administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują: organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.Na tej podstawie dyrektorzy szkół publicznych będących jednostkami budżetowymi zobowiązani są do wyznaczenia inspektora ochrony danych oraz zawiadomienia o tym Prezesa UODO. Inspektorem ochrony danych może być osoba zatrudniona w szkole lub osoba wykonująca zadania na podstawie umowy o świadczenie usług. Inspektor ochrony danych osobowych może wykonywać inne zadania i obowiązki, jednakże administrator musi zapewnić, żeby takie zadania lub obowiązki nie powodowały konfliktu interesów (art. 38 ust. 6 RODO). Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć - z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych osobowych.

RODO podkreśla, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Przenosząc powyższe wskazówki na potrzeby niniejszego opracowania wskazać należy, że powołany w szkole inspektor ochrony danych powinien odznaczać się wiedzą na temat prawa i praktyk w zakresie RODO, pozostałych przepisów unijnych oraz krajowych przepisów odnoszących się do ochrony danych osobowych, wiedzą w obszarze działania administratora (w tym przypadku systemu oświaty) i znajomością procedur administracyjnych oraz funkcjonowania jednostki. Ponadto inspektor ochrony danych powinien posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych w szkole.Co istotne w zakresie wykonywania swoich zadań określonych w RODO inspektor nie może otrzymywać instrukcji w zakresie sposobu działania, podjęcia środków zaradczych czy też osiągnięcia określonego celu. Inspektor za wykonywanie swoich zadań nie może być odwoływany ani karany przez administratora lub podmiot przetwarzający.

1.11 Przetwarzanie danych w imieniu administratora w ramach powierzenia przetwarzania danych

W działalności szkół niejednokrotnie dochodzi do udostępnienia danych osobowych innym podmiotom (określanym zgodnie z RODO, jako podmioty przetwarzające) w związku ze zleceniem realizacji określonych zadań, np. prowadzenia obsługi dzienników elektronicznych, czy całego systemu monitoringu zainstalowanego w danej szkole. Zgodnie z art. 4 pkt 8 RODO, podmiotem przetwarzającym może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Szczegółowe uregulowanie tego stosunku zawiera art. 28 RODO. Szkoła, jako administrator, może powierzyć wykonanie takiej usługi podmiotom, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Przetwarzanie przez podmiot przetwarzający odbywa się przede wszystkim na podstawie umowy określającej: a) przedmiot i czas trwania przetwarzania, b) charakter i cel przetwarzania, c) rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, d) obowiązki i prawa administratora. Ponadto podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za przetwarzanie danych niezgodnie z zawartą umową. Zawarcie takiej umowy nie zmienia statusu ich administratora - jest on w dalszym ciągu odpowiedzialny za ich prawidłowe przetwarzanie. Odnosi się to również do sytuacji ustawowego powierzenia przetwarzania danych, np., gdy obsługę administracyjną, czy księgową pełni jednostka powołana przez organ prowadzący.

Dziękuję za uwagę! :)

ŹRÓDŁO:

Ochrona danych osobowych w szkołach i placówkach oświatowych - poradnik : UODO: