RODO w przedszkolu. Nowa rola ABI w przedszkolach w świetle przepisów o ochronie danych osobowych
24.04.2018
-
Edukacja
Czy przedszkole musi powiadomić rodziców, że dane dziecka będą w SIO? Czy zagubienie pendrive’a z danymi osobowymi trzeba zgłaszać do GIODO? Takie m.in. pytania mieli uczestnicy szkolenia
Czy przedszkole musi poinformować rodziców, że dane dziecka będą w SIO? Czy zagubienie pendrive’a z danymi osobowymi trzeba zgłaszać do GIODO?
„Nowa rola administratorów bezpieczeństwa informacji w przedszkolach w świetle krajowych i unijnych przepisów o ochronie danych osobowych” – to temat szkolenia zorganizowanego w Warszawie przez Generalnego Inspektora Ochrony Danych Osobowych.
Od 25 maja będziemy stosować w Polsce ogólne rozporządzenie Parlamentu Europejskiego o ochronie danych osobowych. Pracownicy GIODO starali się przełożyć zadania ujęte w RODO na praktykę przedszkolną.
Trzeba zgłosić
RODO wprowadza m.in. nowe rozwiązania wobec naruszeń danych. Zgodnie z nowymi przepisami administratorzy danych osobowych (np. przedszkola) będą mieli 72 godziny od momentu zauważenia naruszenia ochrony danych osobowych na zgłoszenie tego faktu do GIODO.
„To powinien być najkrótszy możliwy czas” – podkreślał Krzysztof Król z Departamentu Orzecznictwa Legislacji i Skarg z Biura GIODO.
Jeżeli okaże się, że to naruszenie może mieć poważne konsekwencje dla osób, których dane dotyczą, organ nadzorczy może zażądać powiadomienia tych osób o wycieku.
„Naruszenie musi zgłosić administrator danych osobowych (ADO), natomiast w zawiadomieniu o naruszeniu podaje dane inspektora ochrony danych osobowych (IOD), ponieważ jest to wyspecjalizowany podmiot, który może pomóc ustalić okoliczności zdarzenia” – dodaje Monika Młotkiewicz z Departamentu Rejestracji ABI i Zbiorów Danych Osobowych.
Przedstawiciele administracji przedszkolnej dopytywali w tym kontekście o konkretne sytuacje. M.in., czy jeśli rodzice wejdą do pokoju nauczycielskiego, gdzie są segregatory z danymi, to czy jest to już naruszenie, o którym należy informować organ nadzorczy.
„Nie, w takiej sytuacji nie będziemy oczekiwać takiej informacji czy też przekazywania informacji o naruszeniu danych do rodziców, których dzieci te dane dotyczą. Trzeba zadać sobie pytanie, czy ktoś, widząc segregator, widzi co w nim jest” – wyjaśniał Krzysztof Król. „Ale jeśli np. zrobił zdjęcie telefonem, trzeba go poinformować, że to praktyka niezgodna z prawem i jeśli nie usunie fotografii, poinformować o tym fakcie GIODO” – dodał.
Inna uczestniczka szkolenia chciała wiedzieć, czy trzeba zgłaszać do GIODO zgubienie zaszyfrowanego pendrive’a z danymi osobowymi.
„Jest to naruszenie, bo ktoś wszedł w posiadanie tych informacji. Zwłaszcza jeśli była to jedyna kopia. W sytuacji, kiedy jesteście państwo pewni, że nie dojdzie do skorzystania z tych danych, bo macie wysoki poziom zaszyfrowania pendrive’ów, też nas o tym informujecie” – wskazywał Krzysztof Król.
Będzie odpowiedzialnośc finansowa
Nowością jest wprowadzenie odpowiedzialności finansowej. Do tej pory GIODO miał tylko narzędzia administracyjne, tj. mógł nakazać np. wprowadzenie nowych zabezpieczeń.
„Teraz będzie możliwość nałożenia kary finansowej. Jesteśmy gotowi, by takie kary nakładać” – mówił Król. W jakich przypadkach? „Jeżeli ktoś wie, że ma obowiązek zgłoszenia naruszenia, i to pomija, to może będzie kara finansowa w ramach motywacji” – powiedział.
Trzeba informować
RODO podkreśla jeszcze bardziej niż dotychczas konieczność realizacji obowiązku informacyjnego - zgodnie z nowymi przepisami osoba, której dane przetwarzamy, musi zostać dokładnie poinformowana, do jakich celów je wykorzystujemy.
„Przedszkole udostępnia numery pesel dzieci na poziomie gminy i SIO. Mogę powiedzieć rodzicowi, jak te dane będą wykorzystywane w przedszkolu, ale nie mogę mu powiedzieć, jak i jak długo te dane są przechowywane na zewnątrz przedszkola” – zauważył jeden z uczestników.
Pracownicy GIODO uspokajają: ci, którzy otrzymują dane na podstawie przepisów, nie są odbiorcami danych, o których należy informować.
„Przetwarzanie danych w Systemie Informacji Oświatowej wynika z przepisów prawa, więc przedszkole nie ma obowiązku informować o tym rodzica. Ale jeśli przedszkole organizuje wycieczkę i wynajmuje biuro podróży, to jest to odbiorca danych, o którym należy poinformować” – wskazuje Krzysztof Król. I podkreśla: „Odbiorcami danych, o których trzeba informować, nie są ci, którzy dostają dane na podstawie przepisów prawa, jak np. minister edukacji narodowej w związku z SIO czy gmina w związku ze swoimi zadaniami”.
Obowiązek informacyjny będzie rewolucją dla wielu przedszkoli, które publikują zdjęcia z życia placówki na stronach internetowych i portalach społecznościowych.
„RODO troszeczkę ukróci praktyki, które mają miejsce, że przedszkola chcą wykorzystywać wizerunki dzieci” – mówiła na szkoleniu Monika Młotkowska. „To jest duży problem, z którym się państwo teraz mierzycie - jakie informacje można umieszczać na stronie internetowej przedszkola? Te zasady trzeba bardzo dobrze przemyśleć i na początku roku szkolnego poinformować rodziców, zebrać ich zgody. Np. jakie wizerunki dzieci, w związku z jakimi wydarzeniami będziemy zamieszczać na stronie internetowej” – wskazywała.
aba/Wszelkie materiały (w szczególności depesze agencyjne, zdjęcia, grafiki, filmy) zamieszczone w niniejszym Portalu chronione są przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Materiały te mogą być wykorzystywane wyłącznie na postawie stosownych umów licencyjnych. Jakiekolwiek ich wykorzystywanie przez użytkowników Portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, bez ważnej umowy licencyjnej jest zabronione.
