Monika Sewastianowicz: RODO obowiązuje już od 25 maja. Na jakie problemy zwracają uwagę dyrektorzy szkół?
Jarosław Feliński: Dyrektorzy zwracają uwagę przede wszystkim na brak wykwalifikowanej kadry. Problemem jest ogólnikowość traktowania przepisów RODO w wymiarze kwalifikacji zawodowych inspektora.

Komentarze i publikacje niekoniecznie biorą pod uwagę specyfikę działania szkół i placówek oświatowych. Nie zawsze rozumieją to też organy prowadzące, próbując zaoszczędzić na kosztach. 
Mam wrażenie, że te dwa lata na przygotowanie się do RODO trochę zaprzepaszczono. 

Nawet teraz pewne kwestie odkłada się na ostatnią chwilę, tak jest choćby z wyznaczeniem inspektora ochrony danych osobowych. Polska ustawa wskazuje okres do końca lipca 2018 r. jako czas na zakończenie procedury rejestracyjnej IOD i część podmiotów wychodzi z założenia, że może z wyznaczeniem inspektora może poczekać do tej daty, a to błąd, bo rozporządzenie działa od 25 maja 2018 r.

Unijne rozporządzenie wprowadza duże zmiany dotyczące dokumentacji, jak będzie ona wyglądać po wejściu w życie rozporządzenia?
Dokumentacja dotycząca sposobu przetwarzania danych nie jest niczym nowym, do tej pory szkoły przygotowywały politykę bezpieczeństwa. RODO pozwala na większą elastyczność – mówi: opracujcie to co uważacie, byle spełniło cel i zakres prawnych podstaw przetwarzania. 

Pierwszym krokiem jest określenie, jakie dane będziemy przetwarzać i na jakiej podstawie. Gdy już to zrobimy, zgłaszamy do rejestru zarówno fakt, że mamy takie dane, jak i to, w jaki sposób będziemy je przetwarzać – komu udostępniać informacje, ile czasu je przechowywać. To są te główne zasady, które powinny być tak sformułowane, by ułatwić nauczycielom poruszanie się w tej materii. 

Czyli musimy sobie wyobrazić cały proces – od złożenia wniosku do przekazania danych do archiwum i stworzyć odpowiednie procedur. Wymaga to przygotowania i umiejętności czytania tych przepisów z odpowiednim zrozumieniem. Wyzwaniem jest też wytłumaczenie tego nauczycielom i pracownikom.

Czy w związku z nowymi zasadami przetwarzania danych szkoła musi o czymś poinformować rodziców uczniów?
W przypadku szkół większość danych zbiera się w związku z realizacją obowiązku szkolnego, a zatem rodzic nie ma prawa, jak również powodu, na niewyrażenie zgody na ich gromadzenie.  A zatem, jeżeli uczeń nie korzysta z żadnych dodatkowych form działalności szkoły, nie trzeba rodzica o niczym dodatkowo informować.

Co innego, gdy uczeń z dodatkowej działalności korzysta, choćby biorąc udział w wycieczkach, konkursach, festiwalach. W takim przypadku przydałoby się przygotować formularz, będący częścią regulaminu danego wydarzenia.

Przykładowo - zawierałby informację, że udział w konkursie wiąże się z wyrażeniem zgody na przetwarzanie określonych danych osobowych oraz na ich publikację na stronie internetowej. Tu trzeba też pamiętać o innych przepisach, które wymagają uzyskania zgody na publikację wizerunku lub pracy konkursowej – w tym ostatnim przypadku o przepisach ustawy – Prawo autorskie i prawa pokrewne.

Pewną nowością  jest też wprowadzenie obowiązku uzyskiwania zgody dziecka na korzystanie z niektórych usług?
Chodzi o przetwarzanie danych związanych z korzystaniem z usług społeczeństwa informacyjnego. W naszym prawie to będzie zgoda rodziców lub opiekunów. To jednak kwestia spoza działalności placówki oświatowej.

Myślę, że powinien powstać jakiś krajowy przepis, który by to sprecyzował i zapewne pojawi się w ciągu najbliższych miesięcy.

Czy RODO nałoży jakieś dodatkowe obowiązki na nauczycieli?
Nauczycieli i wychowawców trzeba przeszkolić, a następnie systematycznie uczyć i wspierać, aby wiedzieli, jakie obowiązki wiążą się z przetwarzaniem danych i z jakich przepisów wynikają.

Do tej pory przepisy w takim stopniu nie angażowały nauczycieli, za ochronę danych odpowiedzialny był głównie dyrektor i jego zastępca, a pracownicy czuli się w dużym stopniu wyłączeni, może nawet pominięci. A obecnie to każdy będzie odpowiedzialny za ochronę danych osobowych i będzie musiał umieć stosować te przepisy.

Nauczyciele muszą się włączyć w cały ten proces, a ich przeszkolenie jest obowiązkiem inspektora ochrony danych osobowych. Z przestrzeganiem przepisów wiąże się oczywiście odpowiedzialność, zwłaszcza dyrektora szkoły. Jeżeli nie wprowadzi on odpowiednich regulacji wewnętrznych, to będzie to niedopełnienie obowiązków. Przykład to m.in. niepowołanie inspektora ochrony danych osobowych. Dyrektor musi pamiętać, że jako funkcjonariusz publiczny może mieć postawiony zarzut z art. 231 KK - niedopełnienia obowiązków.

RODO wprowadza obowiązek powiadamiania w ciągu 72 h o możliwości naruszenia ochrony danych osobowych. Jak to będzie wyglądać w praktyce?
To zależy od skali naruszenia – jeżeli wywołało ono negatywne skutki, to osoba ta może wystąpić z pozwem cywilnym. Definiując samo naruszenie, trzeba pamiętać, że nie musi się ono wiązać z fizyczną utratą nośnika z danymi, może to być np. zdradzenie jakiejś informacji koleżance - czyli każdego rodzaju niezabezpieczenie danych w odpowiedni sposób. Ten katalog będzie rozwijany i uświadamiany.

Powiadomienie o naruszeniu będzie miało najprawdopodobniej formę pisma, w którym opiszemy zdarzenie oraz to, jak do niego doszło. Będzie to coś w rodzaju usprawiedliwienia administratora, który nie zabezpieczył odpowiednio informacji.

Z wyznaczeniem inspektora ochrony danych można poczekać>>

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz [PRZEDSPRZEDAŻ]RODO. Ogólne rozporządzenie o ochronie danych. Komentarz>>