RODO – co oznacza dla szkoły, dyrektora i nauczycieli?

25 maja 2018 r. zacznie obowiązywać unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO). Media już nazwały je rewolucją w zasadach przetwarzania danych osobowych. Czy faktycznie nią jest? Warto zadać sobie to pytanie, bo nowe zasady dotyczą zarówno osób prywatnych, jak i przedsiębiorców oraz placówek oświatowych. Każdy dyrektor powinien zatem rozpocząć odpowiednie przygotowania.

Czym jest RODO

Rozporządzenie, nazywane GDPR (od angielskiej nazwy General Data Protection Regulation), a w Polsce znane pod nazwą RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), Parlament Europejski oraz Rada Unii Europejskiej przyjęły 24 maja 2016 roku. Jego przepisy stosowane będą od 25 maja 2018 roku w całej Unii Europejskiej. RODO definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych. Robi to jednak w trochę odmienny sposób od dotychczasowych przepisów, które zastępuje. Przede wszystkim nie zawiera żadnych konkretnych wytycznych, dotyczących minimalnych środków technicznych i organizacyjnych, bo musiałyby one być przygotowane dla każdej branży osobno, a niebawem zapewne modyfikowane w celu dostosowania do zmieniających się warunków. Wynika to z intencji unijnych urzędników, którzy pragnęli unowocześnić regulację o ochronie danych osobowych, a jednocześnie stworzyć prawo, które będzie bardziej ponadczasowe i niezależne od rozwoju technologii.

Kogo dotyczą zmiany

Wytyczne obejmą wszystkie firmy i instytucje, które gromadzą i wykorzystują dane dotyczące osób fizycznych – zarówno duże korporacje, jak i rodzinne przedsiębiorstwa.  Przepisy RODO wprowadzą także nowe i rozszerzone prawa obywateli: prawo do bycia zapomnianym, uprawnienie do żądania przeniesienia danych oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane. Wzmocniona zostanie stała ochrona na każdym etapie, co najprawdopodobniej spowoduje mniej wycieków danych (więcej na ten temat w artykule: Po co nam RODO, czyli jak będą chronione nasze dane osobowe i co nam dają unijne regulacje). Większość z nas jednak nie odczuje tych zmian na co dzień, a jeśli tak, to w stopniu minimalnym. Natomiast placówek oświatowych nie ominą zmiany, jakie przyniosą nowe przepisy. W szkołach, przedszkolach i pozostałych placówkach oświatowych przetwarza się ogromne ilości danych osobowych – uczniów, nauczycieli, innych pracowników, a także rodziców. Oprócz danych takich jak imiona, nazwiska czy PESEL szkoła przetwarza także informacje o ocenach, frekwencji, uwagach, pochodzeniu rasowym czy etnicznym, przekonaniach religijnych, światopoglądzie oraz dane dotyczące zdrowia – one również powinny być należycie chronione.

Nie takie RODO straszne, jak je malują

Jak uniknąć problemów i łatwo wdrożyć zmiany w swojej szkole?

Za przetwarzanie danych osobowych w szkole odpowiada dyrektor szkoły. Jest on odpowiedzialny za nadzór nad prawidłowym przetwarzaniem danych osobowych, w tym nad ich ochroną i prawidłowym wykorzystaniem. Dlatego pierwszym zadaniem dyrektora powinno być przeanalizowanie, czy i jak dane są chronione w prowadzonej przez niego placówce. Nie warto z tym zwlekać do 25 maja, bo spóźnienie może słono kosztować. Wdrażając nowe przepisy, można sięgnąć do dotychczasowej dokumentacji. Jeśli była należycie przygotowana, czyli dobrze został opisany proces przetwarzania danych i wdrożone zabezpieczenia, placówka będzie mogła z powodzeniem skorzystać z niej podczas wdrażania RODO.

Jakie ważne obowiązki nakłada na szkoły RODO?

Obecnie dyrektor może powołać administratora bezpieczeństwa informacji (ABI), czyli osobę, która odpowiada za zapewnienie przestrzegania przepisów o ochronie danych osobowych w szkole. RODO przewiduje instytucję inspektora ochrony danych (IOD), który posiada fachową wiedzę na temat prawa i praktyki z zakresu ochrony danych. Jego funkcje będą zbliżone do funkcji ABI, jednak powołanie IOD będzie obowiązkowe, czyli inaczej niż dotychczas. Może to być osoba zatrudniona w szkole lub osoba, która będzie pełnić funkcję IOD na podstawie umowy o świadczenie usług. Dodatkowo art. 37 ust. 3 RODO zezwala na powołanie przez „organy lub podmioty publiczne” wspólnego IOD. Będzie to jednak możliwe tylko wówczas, gdy pomimo wypełniania obowiązków, np. na rzecz kilku szkół jednocześnie, inspektor nadal będzie dostępny dla każdej z nich w stopniu, który nie wpłynie negatywnie na możliwość wykonywania jego obowiązków wskazanych w RODO.

grafika_artykul_rodo_szkola_2.jpg


Dyrektor powinien zweryfikować umowy z firmami zewnętrznymi dostarczającymi oprogramowanie online, którym powierzane są dane uczniów i pracowników. Szkoły zawierają umowy z wykonawcami oferującymi np. dzienniki elektroniczne, programy do obsługi sekretariatu, biblioteki szkolnej czy prowadzenia księgowości i kadr. Tym samym udostępniają im część danych w ramach procesu zwanego podpowierzeniem. Jest to konieczne ze względu na architekturę oprogramowania, które już prawie zawsze udostępniane jest szkołom jako usługa (tzw. model SaaS – z języka ang. Software as a Service), za pośrednictwem przeglądarki internetowej. Dlatego należy upewnić się, że dostawcy szkolnego oprogramowania przekazali szkole nowy wzór umowy powierzenia danych (zgodny z RODO), a także koniecznie zadbać o zawarcie takiej umowy przed 25 maja 2018 r. Należy również sprawdzić, czy umowa spełnia podstawowe wymogi RODO, w szczególności wskazuje przedmiot i czas przetwarzania danych, rodzaj danych osobowych, kategorię osób, których dane dotyczą oraz cel ich przetwarzania. Ważne jest, że umowy powierzenia danych mogą mieć formę zarówno tradycyjną – papierową, jak i elektroniczną. Samo rozporządzenie, ze względu na wspomnianą już zasadę neutralności technologicznej, nie podaje definicji formy elektronicznej. Wskazuje się jednak, że za prawidłowe i skuteczne zawarcie umowy powierzenia z wykorzystaniem Internetu należy uznać np. to w drodze akceptacji regulaminu, który – oprócz zasad, na jakich udzielona jest licencja – zawiera postanowienia dotyczące powierzenia lub też zupełnie odrębnego regulaminu powierzania danych osobowych.

Dyrektorzy są zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych, które będą zgodne z RODO. Powinni np. wprowadzić zasady rozliczalności danych osobowych czy przestrzeganie zasady minimalizacji. Warto dokonać aktualizacji dotychczasowej dokumentacji – polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi. Choć RODO nie wymaga, aby je posiadać, mogą okazać się przydatne w obliczu wymogu wykazania, że dane są przetwarzane zgodnie z prawem.

grafika_artykul_rodo_szkola_1.jpg


RODO nakłada na administratorów danych obowiązek zgłaszania do właściwego organu (np. Generalnego Inspektora Ochrony Danych Osobowych) przypadków naruszeń. Powinno to się odbyć w ciągu 72 godzin od momentu wykrycia naruszenia, a przypadek musi być odpowiednio udokumentowany. Dodatkowo na szkole spoczywają obowiązki informacyjne, które wymagają opracowania specjalnych formularzy, w których trzeba będzie podać, kto i w jakim celu będzie przetwarzał dane. Muszą one też posiadać informację o możliwości złożenia skargi i podstawie prawnej przetwarzania.

RODO poskromione

Nowe unijne przepisy wprowadzają zmiany dotyczące ochrony danych osobowych, ale nietrudno odnieść wrażenie, że część z nich całkowicie lub przynajmniej w części pokrywa się z przepisami obowiązującymi dotychczas w naszym kraju. Nie warto zatem wpadać w panikę na wieść o „rewolucji w ochronie danych osobowych”. Przede wszystkim należy zapoznać się z obowiązkami, które RODO nakłada na administratorów danych osobowych i z odpowiednim wyprzedzeniem przystosować zarządzaną placówkę do wymogów. Ważne, aby pamiętać, że poprawna dokumentacja to tylko jeden z istotnych aspektów wprowadzanych zmian. Na sukces działań w kwestii ochrony danych osobowych wpłynie również uświadomienie zespołu. Przetwarzanie danych to proces ciągły, w którym biorą udział pracownicy szkoły – dlatego muszą stosować się do ustalonych zasad. To przecież oni na co dzień operują danymi osobowymi uczniów i innych osób zatrudnionych w szkole.


źródła:
https://giodo.gov.pl/pl/
http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL (cały tekst RODO w języku polskim)
https://www.politykabezpieczenstwa.pl/pl/a/czym-jest-rodo-i-jakie-zmiany-wprowadza-nowa-ustawa-parlamentu-europejskiego
https://businessinsider.com.pl/firmy/przepisy/rodo-gdpr-regulacje-o-ochronie-danych-osobowych-zmiany-w-firmach/21p6svs


Interesuje Cię ta tematyka? Przeczytaj również:

Najbardziej aktualne artykuły: