Inspektor Ochrony Danych w państwowych placówkach oświatowych
Funkcjonowanie szkół i placówek oświatowych nie jest możliwe się bez wykorzystywania danych osobowych…
Wejście w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (dalej RODO) zmieniło nieco podejście do danych osobowych. Przed majem 2018 roku, mieliśmy w naszym kraju przepisy dotyczące danych osobowych. Mieliśmy, ale niewiele było w tym kierunku robione. Firmy prywatne na dobrą sprawę robiły z danymi osobowymi co chciały. Podmioty publiczne w tym i placówki oświatowe nie dość, że niewiele wiedziały to i nie robiły praktycznie nic w tym kierunku. Przed RODO oczywiście placówki oświatowe mogły posiadać Administratorów Bezpieczeństwa Informacji, ale niewiele z nich się na to decydowało. Skoro nie było wymogu, to wiele z nich oszczędzało. Wejście w życie RODO wymusiło zmianę tego podejścia. Przepisy nakładają na placówki obowiązkowe powołanie Inspektora Ochrony Danych (IOD). Chyba wszyscy zdajemy sobie sprawę, że we wszystkich placówkach oświatowych jest przetwarzana duża ilość danych osobowych. Skoro zdajemy sobie sprawę, to wiemy, że potrzeby jest specjalista, który pomoże to wszystko uregulować.
Obowiązek stosowania RODO przez placówki oświatowe…
Szkoły oraz placówki oświatowe w swojej działalności wykorzystują dane osobowe:
- uczniów,
- ich rodziców,
- nauczycieli,
- pozostałych pracowników szkoły,
- oraz innych osób, np.:
- zaproszonych gości na uroczystości szkolne,
- innych członków rodziny dziecka.
Oznacza to, że są one zobowiązane do stosowania przepisów ogólnego rozporządzenia o ochronie danych (RODO).
Skoro placówki oświatowe są zobowiązane do stosowania przepisów o ochronie danych osobowych, to muszą również wyznaczyć i zgłosić do UODO Inspektora Ochrony Danych. Zatrudnienie i powołanie IOD, rejestrowanie czynności przetwarzania to obowiązki Administratora danych placówki oświatowej, czyli w praktyce jej dyrektora.
Wybór Inspektora Ochrony Danych należy do Administratora…
Wiemy już, że państwowa placówka oświatowa musi mieć IOD-a. Nie pewnych tego, odsyłam do art. 37 ust.1 RODO. Przeczytamy tam, że IOD-a musimy wyznaczyć zawsze, gdy przetwarzania dokonują organ lub podmiot publiczny. Taki zapis daje nam pewność. Niestety sama pewność nie wystarczy. Wiedząc, że musimy wyznaczyć Inspektora Ochrony Danych musimy jeszcze go znaleźć. RODO pomaga nam również i w tej kwestii, podpowiadając jakie umiejętności taka osoba powinna posiadać. Akt nie narzuca nam formy nawiązania współpracy ze specjalistą ds. ochrony danych. Zgodnie z RODO, administrator, którym jest dana placówka oświatowa może wyznaczyć członka personelu, jak również skorzystać z outsourcingu. Ważną kwestią jest to, iż decydując się zatrudnić IOD w ramach stosunku pracy, to osoba taka będzie pracownikiem samorządowym z pełnymi tego konsekwencjami. Powierzenie IOD innych zadań i obowiązków jest możliwe tylko pod warunkiem braku konfliktu interesów z innymi obowiązkami lub zadaniami. W przypadku powierzenia funkcji Inspektora Ochrony Danych nauczycielowi nie można wykluczyć konfliktu interesów. Przykładowo w sytuacji, gdy, pełnienie funkcji nauczyciela będzie miało wpływ na wykonywanie przez niego zadań jako inspektora, np. w zakresie jego niezależności.
Placówka oświatowa zobowiązana jest do praktycznego stosowania zasad ochrony danych osobowych…
Każda placówka oświatowa nie może zapomnieć o kilku podstawowych zasad nałożonych na nią przez RODO. Jedną z nich jest obowiązek wyznaczenia IOD, o czym pisaliśmy powyżej. Tych obowiązków jest więcej. Należy do nich również spełnianie obowiązków informacyjnych. Treści tych obowiązków powinny zawierać wszystkie elementy wskazane w art. 13 i 14 RODO. Placówka oświatowa ma również obowiązek zabezpieczenia danych osobowych (art. 32 RODO) przez zastosowanie odpowiednich środków technicznych i organizacyjnych. Innym obowiązkiem jest respektowania praw osób, których dane są przetwarzane. Z tymi prawami osób, wiem z doświadczenia, że nie zawsze administratorzy potrafią sobie poradzić. Ważną kwestią jest również prowadzenie właściwych rejestrów, np. Rejestru czynności przetwarzania danych osobowych. Pamiętajmy, że w szkołach i placówkach oświatowych zazwyczaj przetwarzanie odbywa się na podstawie przepisów prawa. Odbieranie dodatkowych zgód od rodziców czy opiekunów prawnych może być błędem. Zgoda na przetwarzanie jest ostatecznością i należy o nią prosić w sytuacjach, w których nie ma innej podstawy prawnej.
Właściwie wybrany Inspektor Ochrony Danych wesprze Administratora w wypełnieniu obowiązków prawnych…
Jak widać, obowiązków spoczywających na placówce oświatowej jest dużo. Powyżej wskazanych zostało kilka przykładowych, ale to nie wszystkie. Chcąc być zgodnym z wymaganiami na polu ochrony danych osobowych administrator nie może zostawić tego samemu sobie. Oczywiście, wyznaczenie IOD z założenia powinno pomóc. Powinno, jednak to również jest zależne. Chodzi o to, że zgodnie z art. 39 RODO, Inspektor Ochrony Danych to osoba głównie wspierająca administratora danych. To na administratorze spoczywają obowiązki wypełniania wymogów z RODO. Decydując się na wybór IOD-a w ramach zatrudnienia może się okazać, że będzie on właśnie wypełniał obowiązki zgodnie z przepisami wynikającymi z RODO. Placówka oświatowa chcąca, aby IOD zrobił coś więcej powinna wybrać firmę zewnętrzną. Firmy specjalizujące się ochronie danych osobowych zrobią coś więcej. Pomogą w opracowaniu dokumentacji, rejestrów, treści obowiązków informacyjnych czy wskażą jakie powinny być właściwe środki bezpieczeństwa. Pamiętajmy, że jeden Inspektor Ochrony Danych może być powołany dla kilku podmiotów, co ułatwić może finansowanie. Wybór przez placówkę oświatową właściwego IOD-a może być trudny. Na rynku jest wiele firm specjalizujących się w obsłudze na gruncie przepisów RODO. Na pewno warto wybrać firmę, która wśród swoich klientów posiada jednostki publiczne, placówki oświatowe. Takie rozwiązanie zagwarantuje wybór doświadczonego partnera.
Ochrona dzieci i ich danych osobowych stanowi jeden z priorytetów placówek oświatowych…
Zrozumienie przepisów o ochronie danych osobowych i skuteczne ich wdrożenie umożliwia ochronę dzieci oraz buduje wzajemne zaufanie między placówką oświatową i rodzicami. Każdy powinien mieć świadomość, że brak kontroli nad własnymi danymi osobowymi może powodować poważne zagrożenia dla nas samych. Dzieciom, zwłaszcza tym małym, może być trudniej to zrozumieć. Pamiętajmy, że RODO w motywie 38 preambuły stanowi, że szczególnej ochrony danych osobowych wymagają dzieci, ponieważ mogą być mniej świadome ryzyka, konsekwencji zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Myślę, że nie tylko przepisy, ale i my sami się zgodzimy się z tym, że dobro dzieci jest najważniejsze. Jeżeli chcą Państwo pogłębić wiedzę w zakresie prawidłowej ochrony danych osobowych w placówkach oświatowych można zajrzeć na stronę UODO. Urząd Ochrony Danych Osobowych we współpracy z MEN przygotował praktyczny poradnik dotyczący przetwarzania danych osobowych w szkołach i placówkach oświatowych. Podsumowując, placówka oświatowa musi mieć Inspektora Ochrony Danych i powinna znaleźć właściwego.