Już na gruncie ustawy o ochronie danych osobowych oraz przyjmowanych w szkole aktach prawnych wewnętrznych dotyczących ochrony danych osobowych jak choćby polityka bezpieczeństwa pojawiały się wątpliwości przy tworzeniu i interpretacji stosownych zapisów. Tymczasem ustawodawca nałożył na podmioty przetwarzające dane osobowe szereg nowych obowiązków wynikających z tzw. RODO.
„RODO” to skrót od rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenia tego nie będzie trzeba przyjmować w polskim ustawodawstwie, jak to się dzieje w przypadku dyrektyw (brak obowiązku tzw. implementacji). RODO będzie bezpośrednio obowiązywać i wywoływać skutki prawne.
RODO będzie stosowane od 25 maja 2018 r. Do tej daty wszystkie te podmioty, które podlegają RODO, powinny być gotowe do jego stosowania – nie będzie już dodatkowego okresu przejściowego, dlatego nie ma powodu by czekać z wdrożeniem RODO na polskie przepisy o ochronie danych osobowych.
Warto pamiętać, że przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie danych, przechowywanie danych, usuwanie danych, opracowywanie danych, udostępnianie danych. RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z nią, można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Rozporządzenie wprowadza także pojęcie Inspektora Ochrony Danych (IOD), który ma być następcą Administratora Bezpieczeństwa Informacji (ABI).
Jedną z szeroko omawianych zasad wprowadzonych przez RODO jest prawo do bycia zapomnianym. Jest to jedno z nowych uprawnień przyznanych przez RODO osobom, których dane dotyczą. Prawo to składa się z dwóch uprawnień:
a) możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
b) możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.
Placówki oświatowe posiadają prawo do przetwarzania danych osobowych, które wynika przede wszystkim z przepisów prawa powszechnie obowiązującego takich jak Prawo Oświatowe. Są jednak takie informacje, do przetwarzania których szkoły winny pobierać zgody. Należy pamiętać, że RODO wprowadza nowe zasady udzielania zgody na przetwarzanie danych osobowych dotyczące m.in. wyrażania i wycofywania zgody na przetwarzanie danych. Otóż choćby wycofanie zgody musi być tak samo łatwe, jak jej udzielenie.
Szkoły muszą w większym zakresie zadbać o bezpieczeństwo przetwarzanych danych. Administratorzy winni wdrożyć nowy zespół środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa. Pociąga to za sobą konieczność aktualizacji dokumentacji, w tym przede wszystkim: polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. RODO precyzuje również dodatkowe obowiązki informacyjne, dlatego konieczne staje się posiadanie odpowiednio opracowanych dokumentów przedstawianych osobom, od których zbierane są dane. W dokumentach należy określić, kto i w jakim celu będzie przetwarzał dane osobowe oraz poinformować o podstawie prawnej gromadzenia danych i konsekwencjach, jakie wiążą się z nieudzieleniem informacji. Dodatkowo jeśli chodzi o kwestie bezpieczeństwa, RODO nakłada na administratorów danych obowiązek zgłaszania do właściwego organu przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane gromadzono – administrator ma na to 72 godziny od wykrycia naruszeń, a wszystkie przypadki naruszeń muszą zostać udokumentowane.
Oczywiście, przedstawiony zakres zmian to tylko niewielka jego część, dlatego watro bliżej przyjrzeć się zmienionym przepisom, tak aby właściwie przygotować się do ich wprowadzenia w szkole.
