Nowe regulacje zawiera rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - dalej RODO). Należy podkreślić, że unijne rozporządzenie nie wymaga podjęcia dodatkowych czynności przez polskie władze - obowiązuje bezpośrednio, dlatego wszystkie podmioty - w tym także szkoły i placówki oświatowe - muszą dostosować procedury do zawartych w nim przepisów.
Obowiązkowa współpraca z inspektorem ochrony danych
Szkoły, przedszkola i placówki oświatowe na co dzień przetwarzają ogromne ilości danych o uczniach, nauczycielach i innych pracownikach (np. numery PESEL, dane o miejscu zamieszkania, daty urodzenia). Działalność jednostek oświatowych w tym zakresie regulują przepisy ustawy dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), według której szkoły są administratorami danych osobowych, a osobą odpowiedzialną za prawidłowe przetwarzanie chronionych jest dyrektor danego podmiotu.
Te kwestie nie ulegną zmianie po wejściu w życie nowych przepisów o ochronie danych osobowych, nad którymi pracuje obecnie resort cyfryzacji (projekt dostosuje polskie przepisy do zapisów wprowadzanych przez RODO).
Chociaż obecnie obowiązujące przepisy już określają zasady powoływania specjalistów, którzy zajmują się przetwarzaniem danych osobowych w placówce, zatrudnianie administratora bezpieczeństwa danych osobowych nie jest obowiązkowe. Zmieni się to wraz z wejściem w życie RODO - administratora zastąpi obowiązkowo powoływany inspektor ochrony danych osobowych (IOD), o czym przesądza art. 37 ust. 1 lit. a RODO.
Przygotowanemu dyrektorowi niestraszne RODO>>
Rozporządzenie wymaga, by IOD posiadał fachową wiedzę na temat prawa i praktyki w zakresie ochrony danych. Jego stanowisko ma samodzielnych charakter, z przepisów wprost wynika, że IOD podlega najwyższemu kierownictwu administratora danych osobowych.
Nie ma konieczności, by szkoła samodzielnie zatrudniała kogoś na to stanowisko, przepisy RODO nie są w tej kwestii restrykcyjne. Szkoły mogą zatrudnić inspektora na wyłączność, ale rozporządzenie dopuszcza również możliwość, by jeden inspektor obsługiwał łącznie dziewięć jednostek.
Umowy pod lupą dyrektora
Większość szkół korzysta z usług podmiotów zewnętrznych, którym udostępnia część danych uczniów i pracowników. Dzieje się tak choćby w przypadku dzienników elektronicznych, które często prowadzone są przez firmy udostępniające oprogramowanie i umieszczane są na należących do nich serwerach. Dane osobowe pracowników przekazywane są natomiast podmiotom zajmującym się obsługą księgową szkół oraz Centrom Usług Wspólnych, jeżeli takie działają na terenie jednostki samorządu terytorialnego.
Firmy, którym placówki zlecają wspomniane zadania, to tzw. podmioty przetwarzające - RODO wymaga, by zasady ich współpracy ze szkołami precyzyjnie określone. Przepisy unijnego rozporządzenia wspominają o umowie lub innym instrumencie prawnym, który wskazuje: przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także jaki jest cel przetwarzania informacji.
Oznacza to, że placówki oświatowe do przyszłego roku będą musiały skontrolować zawarte z podwykonawcami umowy. Przepisy RODO zakazują zewnętrznym firmom przekazywania informacji innym podmiotom bez uzyskania zgody administratora danych osobowych.
Przetwarzanie niektórych danych tylko za zgodą
Chociaż szkoła nie jest przedsiębiorcą i nie będzie musiała uzyskiwać zgody na przetwarzanie większości danych osobowych - uprawnienia w tym zakresie wynikają bowiem przede wszystkim z prawa oświatowego. Inaczej będzie w sytuacjach, gdy takiej podstawy prawnej nie ma - choćby w przypadku udostępniania wizerunku i danych podopiecznych na stronach internetowych i portalach społecznościowych.
To samo w sobie nie jest może nowością, ale RODO zawiera dalej idące rozwiązania w zakresie wyrażania zgody na przetwarzanie danych osobowych. W rozporządzeniu sprecyzowane zostały wymogi dotyczące wyrażania i wycofywania zgody na przetwarzanie danych - RODO precyzuje m.in., że wycofanie zgody musi być tak samo łatwe, jak jej udzielenie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego już dokonano.
Szczegółowe przepisy dotyczą także wyrażania zgody na przetwarzanie danych osobowych dzieci - należy pamiętać, że w przypadku tzw. usług społeczeństwa informacyjnego (portale społecznościowe, mailingi) kierowanych do dzieci, konieczne będzie uzyskanie zgody tego dziecka, jeżeli ukończyło ono 16 lat. Młodsze dzieci wyręczy opiekun prawny.
Dane lepiej zabezpieczone
Szkoły będą musiały lepiej zadbać o bezpieczeństwo przetwarzanych danych. Chociaż RODO nie narzuca jasnych, ściśle określonych wymogów bezpieczeństwa, administratorzy będą musieli wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stosowny stopień bezpieczeństwa. Wymaga planowania i zarządzania ryzykiem związanym z przetwarzaniem danych osobowych. Pociąga to za sobą konieczność aktualizacji dokumentacji, w tym przede wszystkim: polityki bezpieczeństwa oraz instrukcji zarzadzania systemem informatycznym.
Dodatkowo jeśli chodzi o kwestie bezpieczeństwa, RODO nakłada na administratorów danych obowiązek zgłaszania do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane gromadzono - administrator ma na to 72 godziny od wykrycia naruszeń. Wszystkie przypadki naruszeń muszą zostać udokumentowane.
RODO nakłada na szkoły również dodatkowe obowiązki informacyjne, dlatego konieczne będzie opracowanie specjalnych formularzy przedstawianych osobom, od których zbierane są dane. W dokumentach należy określić, kto i w jakim celu będzie przetwarzał dane osobowe oraz poinformować o możliwości złożenia skargi, a także o podstawie prawnej gromadzenia danych i konsekwencjach, jakie wiążą się z nieudzieleniem informacji.
Wysokie kary za naruszenie przepisów
Za naruszenie przepisów RODO grożą surowe sankcje - przewidziano odpowiedzialność o charakterze: administracyjnym, karnym, cywilnym oraz kary dyscyplinarne wymierzane pracownikom, którzy dopuszczą się naruszenia przepisów.
Kary administracyjne, które przewiduje RODO dochodzą do 20 mln euro - najwyższe nalicza się za naruszanie praw osób fizycznych, w tym m.in. zasad dotyczących przetwarzania danych osobowych. Resort cyfryzacji planuje obniżyć kary dla podmiotów publicznych do 100 000 zł.
Jest to ogromny wzrost wobec obowiązujących stawek grzywien - obecnie Generalny Inspektor Ochrony Danych Osobowych może nałożyć grzywnę w wysokości 50 000 zł, a łączna suma grzywien nie może przekroczyć 200 000 zł.
Dodatkowo RODO przewiduje, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie.