Spis treści
Czy dokumentacja RODO w szkole jest potrzebna?
Na wstępnie należy zadać sobie pytanie czy dokumentacja RODO w szkole jest potrzeba? Odpowiedz brzmi: tak, ponieważ pomaga wykazać rozliczalność administratorowi.
Zasada rozliczalności wynika wprost z art. 5 ust. 2 RODO. Zgodnie z zasadą rozliczalności administrator jest zobowiązany nie tylko do przestrzegania przepisów i wdrożenia odpowiednich środków ochrony danych, ale także do odpowiedniego udokumentowania podjętych działań i decyzji w sprawie wyboru określonych rozwiązań oraz do wykazania przestrzegania przepisów w razie kontroli.
Podsumowując: dokumentacja RODO w szkole zapewnia jasność i przejrzystość procesu przetwarzania danych oraz pomaga wykazać przetwarzanie danych zgodnie z RODO.
Pojęcie danych osobowych
Według RODO, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba taka to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Podział danych osobowych
Dane osobowe dzielą się na dwie główne kategorie:
a) dane tzw. zwykłe, takie jak imię, nazwisko, adres zamieszkania, data i miejsce urodzenia, numer telefonu, numer NIP, numer PESEL, wizerunek, adres e-mail itp.,
b) szczególne kategorie danych osobowych tzw. dane wrażliwe, wymienione w art. 9 RODO, są to m.in:
– pochodzenie rasowe lub etniczne,
– poglądy polityczne,
– przekonania religijne lub światopoglądowe,
– przynależność do związków zawodowych,
– dane genetyczne,
– dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
– dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby,
W przepisach ochrony danych wyróżniamy również 3 dodatkową kategorię danych osobowych: dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wymienione w art. 10 rozporządzenia (uprzednio również zaliczane do danych wrażliwych).
Obowiązki szkoły w zakresie ochrony danych osobowych
Szkoła lub placówka oświatowa zgodnie z RODO jest zobowiązana m.in. do:
- Obowiązku informacyjnego, który nakazuje poinformowanie osób o wyznaczonym celu, w którym będą przetwarzane ich dane – art. 13 oraz art. 14 RODO.
- Zapewnienie bezpiecznego przetwarzania danych osobowych przy zastosowaniu odpowiednich środków technicznych i organizacyjnych, które pomogą zminimalizować ryzyko wynikające z danego przetwarzania danych np. szyfrowanie danych, pseudonimizacja, polityka czystego biurka, stosowanie VPN czy tworzenie kopii zapasowych poszczególnych zbiorów danych.
Wyznaczenia IOD (inspektora ochrony danych), zgodnie z obowiązkiem określonym w art. 37 RODO. Inspektor ochrony danych powinien posiadać fachową wiedzę z dziedziny prawa oraz praktyki ochrony danych. Szkoła powinna również opublikować dane IOD i powiadomić o jego powołaniu Prezesa Urzędu Ochrony Danych. Odpowiednie elektroniczne formularze znajdziecie Państwo na naszej stronie internetowej: https://uodo.gov.pl/492.
- Informacji o prawach podmiotów, których dane dotyczą oraz przestrzeganie poniższych praw:
- dostępu do treści przetwarzanych danych (art. 15 RODO),
- sprostowania przetwarzanych danych (art. 16 RODO),
- usunięcia przetwarzanych danych (art. 17 RODO),\
- ograniczenia przetwarzania danych (art. 18 RODO),
- przenoszenia przetwarzanych danych (art. 20 RODO),
- sprzeciwu przetwarzania danych (art. 21 RODO),
- wniesienia skargi w związku z przetwarzaniem danych osobowych przez Administratora do PUODO (art. 77 RODO).
Dokumentacja przetwarzania danych osobowych
Szkoły oraz placówki oświatowe powinny dokumentować przetwarzanie danych oraz sposób ich zabezpieczenia. Przepisy RODO jednak nie określają wprost jak należy dokumentować przetwarzanie danych, wybór należy do administratora. Wybór oraz forma dokumentacji zależy od administratora. Projektując dokumentację należy pamiętać, że przepisy RODO nie wymagają, aby dokument zawierający wymienione elementy miał określoną nazwę czy strukturę. Ważne jest, aby wykazywał, że administrator przetwarza dane zgodnie z RODO.
Dokumentacja RODO w szkole
Tak jak wspomnieliśmy nie ma jedynego słuszne zestawu dokumentacji RODO. Naszym zdaniem jednak dokumentacja RODO w szkole powinna zawierać:
- Politykę ochrony danych osobowych (PODO). Dokument, który opisuje procesy ochrony danych osobowych od A do Z. Jest do swego rodzaju zbiór wewnętrznych zasad, zabezpieczeń oraz opis procesu przetwarzania danych. Odpowiednio przygotowany wykazuje i oczywiście wdrożony w życie wykazuje, iż szkoła lub placówka oświatowa przetwarza dane zgodnie z RODO.
- Analizę ryzyka. Dokument, do wglądu PUODO w razie kontroli. Opisuje czynności przetwarzania, ich podatności, ryzyka, wpływ na prawa i wolności osób fizycznych, wdrożone środki organizacyjno-techniczne oraz określone zostało prawdopodobieństwo naruszenia, które jest niskie. Świadczy, też szkoła lub placówka oświatowa stosuje podeście oparte na ryzyku w stosunku do przetwarzania danych.
- Politykę prywatności / klauzulę informacyjną jest to spełnienie obowiązku informacyjnego (art.13 RODO). Dokument określa: kto jest administratorem, jakie dane przetwarza, jak i w jakim celu, na jakiej podstawie, kto jest odbiorcom, jakie prawa przysługują podmiotom, których dane dotyczą oraz w jaki sposób mogą je realizować. Polityka prywatności umieszczona na stronie internetowej powinna zawierać również politykę plików cookies.
- Informację o przetwarzaniu danych dla pracowników. Dokument informujący pracowników, o przetwarzaniu ich danych – jest to konieczne by spełnić obowiązek informacyjny, określony w art. 13 RODO.
- Upoważnienie do przetwarzania danych osobowych. Obowiązek nadawania upoważnień pracownikom wywodzi się zasady rozliczalności. Dzięki udzielanie upoważnień do przetwarzania danych swoim pracownikom administrator wykazuje i zachowuje kontrole nad tym jak i przez kogo przetwarzane są dane.
- Upoważnienie do wejścia w obszar przetwarzania danych osobowych. Dokument, który powinien być podpisany przez osoby nieprzetwarzające danych, ale przebywające w miejscu ich przetwarzania np. osoba sprzątająca szkołę. Dokument zawiera również oświadczenie o poufności.
- Rejestr naruszeń ochrony danych. Rejestr naruszeń jest wymogiem PUODO. Zawiera on informacje o naruszeniach ochrony danych w organizacji i powzięte działania. Jeśli organizacja nie stwierdziła naruszeń danych – proszę rejestr zachować pusty.
- Rejestr czynności przetwarzania. Najważniejszy dokument, opisuje czynności przetwarzania, ich cel, podstawy prawne oraz zawiera ogólny opis wdrożonych środków organizacyjno-technicznych, które zostały wdrożone w celu ochrony danych.
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych
Zgodnie z RODO administratorzy mają obowiązek prowadzenie rejestru czynności przetwarzania danych. Wygląd oraz forma rejestru zależy od administratora, jedyne obligatoryjne elementy zostały ujęty w art. 30 RODO. Są nimi
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Rozporządzenie o Ochronie Danych Osobowych (RODO) wymaga od przedsiębiorców, aby oni stosowali odpowiednie środki organizacyjne i techniczne w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Przykłady takich środków to:
W zależności od zakresu przetwarzania danych przez szkołę dokumentację RODO można wzbogacić o:
- Rejestr kategorii czynności przetwarzania
- Umowę powierzenia przetwarzania danych
- Wykaz podmiotów przetwarzających dane
- Ewidencję osób upoważnionych do przetwarzania
- Wykaz udostępnień danych osobowych
- Zgodę na wykorzystanie wizerunku
- Protokół naruszenia ochrony danych
- Zgodę na przetwarzanie danych osobowych
- Zgodę na przetwarzanie wizerunku
- Rejestr żądań podmiotów danych
- Klauzulę informacyjna: monitoring
- Wniosek o rozporządzanie danymi osobowymi
Sprawdź:
Sprawdź naszą ofertę!
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.