Zadania dyrektora placówki oświatowej w kontekście RODO

Unijne przepisy wprowadzają zmiany w zasadach przetwarzania danych osobowych. Dyrektor powinien zweryfikować, czy dopełnił wszystkich obowiązków na gruncie RODO oraz czy wprowadził w kierowanej przez siebie placówce wszystkie zmiany.

Od 25 maja 2018 r. zasady przetwarzania danych osobowych w placówkach oświatowych, również w tych prowadzonych przez podmioty niesamorządowe, są ustalane na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej: RODO. Zapisy rozporządzenia unijnego uzupełnia nowa ustawa o ochronie danych osobowych. Reguluje ona jednak zupełnie inne zagadnienia.

 

Przedstawiamy minimalny wykaz zadań, które powinny zostać zrealizowane przed 25 maja, ale również czynności do wykonania już po tym terminie.

Zadanie

Przepis rodo

Praktyczne uwagi do zmian

Co należało zrobić przed 25 maja 2018 r.

1. Opracowanie polityki ochrony danych lub dostosowanie funkcjonującej dokumentacji

Art. 5, art. 32 RODO

Warto pomyśleć o przygotowaniu dokumentacji, która będzie choćby w prosty sposób opisywać procedury postępowania z danymi osobowymi, jakie zachodzą w jednostce. Nie musi to być żaden formalny dokument. RODO nie wymaga już bezwzględnie posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Przy tworzeniu takiej dokumentacji kluczowe jest, by zastanowić się nad środkami ochrony danych. Środki te muszą być takie, by zapewnić bezpieczeństwo danych (art. 32 RODO). Chodzi o to, by dane nie wyciekły, by nie uzyskał do nich dostępu nikt nieuprawniony, by nikt ich nie skasował, nie zmodyfikował itp. Być może stosowane dotychczas zabezpieczenia techniczne i organizacyjne wystarczą. Być może warto rozważyć wdrożenie dodatkowych środków, które poprawią bezpieczeństwo ochrony danych. Może jakieś informacje w tych dokumentach nie odpowiadają rzeczywistości i należy je poprawić. Jeżeli w placówce nie ma polityki bezpieczeństwa i instrukcji, to warto przygotować choćby jeden dokument opisujący postępowanie z danymi osobowymi w jednostce. W takim dokumencie powinny znaleźć się wszystkie istotne informacje dotyczące obiegu danych osobowych w placówce. Przed przygotowaniem dokumentacji trzeba wdrożyć odpowiednie procedury i środki ochrony danych osobowych, a dopiero potem je opisać. Chodzi o to, by dokumentacja odpowiadała rzeczywistości, a nie była tylko kolejnym niechcianym dokumentem.

Nowości do uwzględnienia w polityce:

  • informacje na temat administratora danych, inspektora ochrony danych osobowych (jeżeli został powołany),
  • zapisy o ewidencjonowaniu, zgłaszaniu, komunikowaniu incydentów w ochronie danych (lub oddzielna procedura),
  • zapisy o prowadzeniu analizy ryzyka (lub oddzielna procedura),
  • przygotowanie wzoru rejestru czynności przetwarzania danych

2. Opracowanie polityki zarządzania naruszeniami i dokumentacji
naruszeń, z uwzględnieniem wzorów zawiadomień o naruszeniu dla podmiotu danych

Art. 33 i 34 RODO, motyw 85 oraz 87–88 preambuły RODO

Administrator ma obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru – Prezesa UODO. Musi także poinformować daną osobę o naruszeniu jej danych (art. 33 RODO). Pojęcie „naruszenie ochrony danych osobowych” zasługuje na szczególną uwagę w związku z tym, że zostało zdefiniowane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Nie trzeba zgłaszać naruszeń, jeśli dyrektor (IOD) oceni, że jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

Należy wypracować zasady i sposób:

  • oceny i kwalifikowania stwierdzonych naruszeń ochrony danych osobowych jako naruszeń, które z dużym prawdopodobieństwem mogą skutkować ryzykiem naruszenia praw i wolności osób fizycznych,
  • zgłaszania naruszeń ochrony danych osobowych Prezesowi UODO,

prowadzenia rejestru naruszeń

3. Opracowanie nowych klauzul informacyjnych

Art. 13 i 14 RODO, motyw 60–62 preambuły RODO

RODO wprowadza rozszerzony obowiązek informacyjny. Warto porównać art. 13 i 14 RODO oraz art. 24 i 25 obecnej ustawy o ochronie danych osobowych. RODO rozróżnia dwa rodzaje obowiązku informacyjnego – kiedy administrator danych zbiera je:

  • bezpośrednio od osoby,
  • w sposób pośredni (od innych podmiotów).

Jedyne wskazówki, jakich udziela ustawa, dotyczą momentu spełnienia obowiązku informacyjnego: odpowiednio w momencie zbierania danych, po utrwaleniu zebranych danych. Ustawa o ochronie danych osobowych nie wskazuje na formę spełnienia obowiązku informacyjnego. Ważne jest, aby osoba, która przekazuje swoje dane osobowe, miała możliwość zapoznania się z treścią informacji. Po stronie administratora danych leży natomiast obowiązek skutecznego jej poinformowania. W związku z tym obowiązku informacyjnego można dopełnić:

  • poprzez ustne przekazanie informacji (ale wówczas szkoła czy przedszkole nie udowodnią, że taki obowiązek spełniły),
  • na jakimkolwiek formularzu, za pomocą którego zbierane są dane osobowe.

Istnieje wyjątek od konieczności dopełnienia obowiązku informacyjnego, który wskazuje, że gdy osoba, której dane dotyczą, ma już informacje, które powinny być jej przekazane, wtedy nie trzeba spełniać obowiązku informacyjnego. Zatem z obowiązku informacyjnego całkowicie zwolnieni są ci administratorzy danych, którzy przetwarzają dane osób, które wiedzą, kim jest administrator (szkoła, przedszkole) i w jakim celu przetwarza ich dane

4. Opracowanie wzorcowych zgód na przetwa­­rzanie danych

Art. 7 RODO, motyw 32, 33, 42, 43, 58, 171 preambuły RODO

Należy zweryfikować treść zgód obecnie stosowanych i dostosować je do wymagań art. 7 RODO. Rozporządzenie unijne nie wprowadza rewolucyjnych zmian w kwestii zgody. Zgoda może mieć formę nie tylko oświadczenia, ale również wyraźnego działania potwierdzającego (np. udział w konkursie). Podano przykłady form wyrażenia zgody (pisemne, elektroniczne lub ustne oświadczenie). RODO wyjaśnia, jaki minimalny zakres informacji o procesie przetwarzania danych należy przekazać osobie wyrażającej zgodę, aby była ona świadoma: tożsamość administratora i zamierzone cele przetwarzania. Możliwe będzie zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach (np. na przetwarzanie danych przy rekrutacji i ponowne wykorzystanie danych przy ewentualnym naborze uzupełniającym w przyszłości). Najważniejsze zmiany polegają przede wszystkim na potwierdzeniu w treści RODO warunków wyrażenia zgody (art. 7 RODO).

I tak, żeby przetwarzanie danych na podstawie zgody było legalne, należy zapewnić:

  • możliwość wycofania zgody w łatwy sposób i w dowolnym momencie – jeśli administrator planuje uzyskiwać zgodę, powinien już na tym wstępnym etapie przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak będzie można tę zgodę odwołać (gdzie rodzic musi się zgłosić, jaki dokument wypełnić),
  • dobrowolność wyrażenia zgody – chodzi o to, żeby nie uzależniać podjęcia pewnych działań od wyrażenia zgody (np. udział w konkursie uzależniony od wyrażenia zgody na przetwarzanie danych przez podmiot fundujący nagrodę
    w konkursie), aby osoba wyrażająca zgodę rozumiała istotę zgody, jej cel i skutki, aby miała pełne rozeznanie, przez kogo konkretnie i w jakim celu jej dane będą przetwarzane,
  • możliwość udowodnienia uzyskania zgody – jeśli administrator nie jest w stanie tego wykazać, nie dysponuje podstawą prawną umożliwiającą mu przetwarzanie danych osobowych.

Przykład:

„Wyrażam zgodę na przetwarzanie moich danych osobowych (danych mojego dziecka) podanych w ................................, tj. ...................... przez ......................... w celach .......................................... Zgodę wyrażam dobrowolnie. Wiem, że w każdej chwili będę mógł odwołać zgodę przez .................................. (należy wskazać, w jaki sposób można zgodę odwołać)”.

Jednostka nie musi pozyskiwać nowych zgód po 25 maja na wykorzystanie danych uczniów, nauczycieli, pracowników, rodziców, jeżeli zebrane zgody odpowiadają warunkom RODO. Zazwyczaj brak możliwości kontynuowania przetwarzania w oparciu o dotychczasowe zgody będzie wynikał przede wszystkim z niewyrażania zgody w sposób świadomy (np. oświadczenie „Wyrażam zgodę na przetwarzanie danych osobowych zgodnie z ustawą o ochronie danych osobowych”, które nie wskazuje, komu zgoda jest udzielana i w jakim celu dane będą przetwarzane)

5. Przygotowanie wzorów umów powierzenia i stosownych aneksów

Art. 28 RODO, motyw 81 preambuły RODO

Przepis określa minimalny zakres informacji, jakie powinny znaleźć się w takich umowach. Należy więc sprawdzić, czy obecne umowy zawierają te minimalne postanowienia, a jeżeli nie, należy je aneksować. RODO zakazuje zewnętrznym firmom przekazywania informacji innym podmiotom bez uzyskania zgody administratora. Należy więc zabezpieczyć się stosownymi oświadczeniami w umowach powierzenia. Warto sprawdzić, czy podmioty, którym powierza się dane, zapewniają stosowanie odpowiednich środków ochrony danych osobowych

6. Opracowanie metodyki prowadzenia analizy ryzyka

Art. 32, motyw 83 preambuły RODO

To dyrektor powinien wypracować odpowiednie dla swojej placówki podejście do zarządzania ryzykiem w związku z przetwarzaniem danych osobowych, uwzględniając charakter środowiska, specyfikę prowadzonej działalności i posiadane doświadczenie, a w szczególności charakter, zakres oraz cele i sposób przetwarzania danych osobowych. Pojęcie ryzyka w szkołach nie jest niczym nowym. Można zaadaptować procedury dotyczące analizy i szacowania ryzyka wykorzystywane w innych obszarach. Najlepiej opracować check­listę punktów kontrolnych, określić poziom ryzyka (wysokie, umiarkowane, nieznaczne), sposób postępowania z tak określonym ryzykiem i okresowo dokonywać sprawdzeń

7. Przygotowanie rejestru czynności przetwarzania danych

Art. 30 RODO

RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak dyrektorzy będą prowadzić wewnętrzny rejestr czynności przetwarzania danych. Poszczególne elementy tego rejestru (np. kolumny, gdy jest on prowadzony w formie tabeli) mogą być następujące:

  • nazwa i dane adresowe administratora danych osobowych (np. szkoła X, z siedzibą w …), dane kontaktowe: telefon, adres e-mail, strona internetowa),
  • imię i nazwisko inspektora ochrony danych, telefon, adres e-mail,
  • nazwa czynności przetwarzania danych, np. rekrutacja, zatrudnianie,
  • cel przetwarzania danych w danym procesie,
  • kategorie osób, których dane dotyczą, np. pracownicy, kandydaci do pracy, uczniowie, rodzice,
  • kategorie danych, np. zakres danych zwykłych, dane wrażliwe (poszczególne
    pozycje do odznaczenia lub do wpisania ręcznie),
  • okres przechowywania danych,
  • środki bezpieczeństwa, np. nazwa prog­ramu antywirusowego, informacja o stosowaniu szyfrowania (o ile taki opis jest możliwy).

Wykaz informacji obligatoryjnych w dokumencie określa art. 30 RODO. Można wykorzystać informacje z rejestru zbiorów, który obecnie jest najczęściej załącznikiem do polityki bezpieczeństwa

8. Organizacja szkoleń dla personelu

Art. 39 RODO

Obowiązek prowadzenia szkoleń został nałożony na inspektora ochrony danych. Jednak szkoły niepubliczne, nawet o uprawnieniach szkół publicznych, nie są obowiązane do wyznaczenia IOD. Obowiązek taki dotyczy tylko jednostek wskazanych w art. 9 ustawy o finansach publicznych (szkoły samorządowe). Jeżeli zatem nie został powołany inspektor, warto zorganizować zewnętrzne szkolenie dla pracowników dotyczące zmian w związku z wdrożeniem RODO w jednostce. Nie jest to jednak obowiązek. Dyrektor (lub inna osoba w jednostce) może sam przekazać te informacje pracownikom

9. Przygotowanie nowych wzorów upoważnień

Art. 29 RODO

Można wykorzystać dotychczasowe upoważnienia, ale jeżeli w treści odnoszą się do art. 37 ustawy o ochronie danych osobowych, to należy to usunąć lub zmienić na art. 29 RODO. Dalej można prowadzić ewidencję osób upoważnionych, by odnotowywać w niej wszystkie osoby, które upoważnia się do przetwarzania danych osobowych. Ważne jest, aby zweryfikować przy okazji zakres obowiązków poszczególnych pracowników, którzy zostali upoważnieni do przetwarzania danych. Powinien znaleźć się w nich zapis zobowiązujący do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych na zajmowanym stanowisku

Po 25 maja 2018 r.

10. Testowanie rozwiązań w praktyce

Art. 5 RODO

Wdrożenie RODO – to nie koniec zadań administratora. Jest on obowiązany do monitorowania opracowanych zasad i procedur – sprawdzania, jak funkcjonują w praktyce. Jeżeli jest taka potrzeba, należy modyfikować przyjęte rozwiązania

11. Dostosowywanie opracowanych dokumentów do potrzeb jednostki

Art. 5 RODO

Powyższe dotyczy również modyfikacji dokumentów

12. Monitorowanie powstawania kodeksów dobrych praktyk, stanowisk organu nadzorczego, wytycznych Europejskiej Rady Ochrony Danych Osobowych

Art. 5 RODO

Powstanie również nowy organ unijny: Europejska Rada Ochrony Danych. Jego zadaniem będzie dbanie o spójne stosowanie przepisów przez wszystkie organy nadzoru państw UE. W jego skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich lub ich przedstawiciele oraz Europejski Inspektor Ochrony Danych. Już teraz można przeczytać opracowane „Wytyczne dotyczące inspektorów ochrony danych”. Warto również śledzić stronę www.giodo.gov.pl, gdzie będą się pojawiać wytyczne, wskazówki, a może nawet wzory dokumentów

13. Doskonalenie systemu

Art. 5 RODO

Zawsze można optymalizować przyjęte zasady, szczególnie jeżeli będzie się zmieniać zasady w ochronie w taki sposób, żeby jeszcze sprawniej zapewniać ochronę danych

 

Jeżeli administrator, czyli w imieniu placówki – dyrektor, nie wykona ww. czynności, to musi liczyć się z określoną odpowiedzialnością:

 

Jaką odpowiedzialność przewiduje RODO?

Odpowiedzialność administracyjna

Odpowiedzialność karna

Odpowiedzialność cywilna

Kara pieniężna nałożona w drodze decyzji administracyjnej.

Odwołanie do sądu administracyjnego.

Przedszkola, szkoły i placówki publiczne – kara maksymalnie do 100 tys. zł.

Przedszkola, szkoły i placówki niepubliczne – do 20 mln euro

RODO nie wskazuje sankcji karnych.

Dwa przepisy karne
z nowej ustawy o ochronie danych osobowych (dotychczas było sześć):

  • utrudnianie kontroli – wykroczenie (grzywna),
  • przetwarzanie bez podstawy prawnej danych osobowych kategorii szczególnej – przestępstwo (pozbawienie wolności do roku)

Odpowiada administra­tor – szkoda majątkowa lub niemajątkowa (krzywda) w wyniku naruszenia RODO.

Można uchylić się, jeżeli administrator udowodni, że w żaden sposób nie ponosi winy za zdarzenie,
które doprowadziło do powstania szkody

Czy można nakładać kary personalne?

NIE.

Nie jest to odpowiedzialność indywidual­na osoby fizycznej, tylko administratora, co jed­nak oczywiście przekłada się na sytuację osobistą dyrektora, szczególnie jeżeli dyrektor jest osobą prowadzącą

NIE

NIE.

Chodzi o odpowiedzial­ność administratora, a nie osobistą odpowiedzialność dyrektora

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1).