Od 25 maja 2018 będą obowiązywać nowe/zmienione przepisy dotyczące ochrony danych osobowych (RODO). Proszę o informację w jakim zakresie te zmiany dotyczą placówek oświatowych? Jakie działania powinien podjąć dyrektor placówki? Proszę o przykładowe wzory dokumentów i procedur.

Ponieważ od dnia 25 maja 2018 r. konieczne będzie wykonywanie wielu nowych zadań związanych z przetwarzaniem danych osobowych, jeszcze przed tym terminem w szkołach powinna nastąpić analiza przepisów oraz dokonanie wewnętrznych przeglądów, jakie dane osobowe są przetwarzane w danej placówce, w jaki sposób są gromadzone, jakie są podstawy prawne ich wykorzystywania i wykonywania na nich innych operacji, czy dane są komuś udostępniane oraz w jaki sposób są zabezpieczane dane osobowe. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE kładzie szczególny nacisk na ochronę danych osobowych dzieci.

Szkoła będzie miała obowiązek:

1) wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z przepisami – np. przez wprowadzenie polityk ochrony danych (nowe przepisy w tym zakresie nie zobowiązują do opracowania konkretnej dokumentacji, ani nie dają wytycznych co do ich treści, więc można posługiwać się dotychczasową dokumentacją, ewentualnie należy rozważyć potrzebę jej uzupełnienia lub modyfikacji);

2) stosowania odpowiednich środków technicznych i organizacyjnych – np. minimalizacja przetwarzania danych osobowych (dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), nadanie przetwarzaniu niezbędnych zabezpieczeń, które powinny zostać rozważone i dobrane jeszcze przed rozpoczęciem przetwarzania danych, udzielenie dostępu do danych osobowych i ich przetwarzanie wyłącznie przez osoby upoważnione przez dyrektora i wykonujące operacje na jego polecenie, ustalenie terminów usuwania lub okresowego przeglądu danych osobowych;

3) gdy szkoła przetwarza szczególne kategorie danych osobowych, w tym dotyczące zdrowia – będzie także miała obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych w formie pisemnej, w tym elektronicznej - w którym m.in. należy zamieścić cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; jeżeli jest to możliwe - planowane terminy usunięcia poszczególnych kategorii danych oraz zastosowane środki techniczne i organizacyjne stosowane w celu ochrony danych. W szkole samorządowej obowiązkowe będzie powołanie przez dyrektora inspektora ochrony danych osobowych (art. 37 RODO).