Proszę określić typ placówki, którą Państwo zarządzacie a dokumentacja i treści dla niej będą widoczne jako pierwsze. Szkoła Przedszkole

Dokumentacja dyrektora

SZKOLENIA WIDEO

NIEZBĘDNIK PRAWNY


Nadzor-pedagogiczny.pl Porady prawne Rejestracja zbiorów danych osobowych to obowiązek wszystkich podmiotów przetwarzających dane osobowe, a zatem również placówek oświatowych. Dyrektorzy wciąż mają jednak...

PORADA PRAWNA

13 listopada 2014 Inne

W jaki sposób należy prawidłowo wypełnić wniosek rejestracyjny zbiorów danych osobowych?

Rejestracja zbiorów danych osobowych to obowiązek wszystkich podmiotów przetwarzających dane osobowe, a zatem również placówek oświatowych. Dyrektorzy wciąż mają jednak wątpliwości, w jaki sposób należy prawidłowo wypełnić wniosek rejestracyjny.


Problematyka obowiązku rejestracyjnego została uregulowana w rozdziale 6 ustawy o ochronie danych osobowych. Istotny jest tu przede wszystkim art. 40, zgodnie z którym „administrator danych jest obowiązany zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi”. To właśnie z art. 40 wynika obowiązek szkół zgłoszenia zbiorów danych.

 

Wyodrębnienie zbiorów danych

Przedmiotem zgłoszenia jest zbiór danych osobowych, którym jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Do przykładowych zbiorów danych, które można wyróżnić w szkole, należą: „dane kadrowe”, „uczniowie”, „rejestr korespondencji”, „kontrahenci” itd. Nie wszystkie z nich podlegają jednak rejestracji.

Katalog zbiorów zwolnionych z tego obowiązku obejmuje m.in. zbiory zawierające dane:

- przetwarzane w związku z zatrudnieniem, świadczeniem usług na podstawie umów cywilnoprawnych – czyli np. zbiór: „dane kadrowe” (art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych);
- dotyczące osób uczących się – np. zbiór: „uczniowie” (art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych).
- Pierwszy krok, jaki należy zatem podjąć, aby zgłosić zbiór do rejestracji, to wyodrębnienie zbiorów danych przetwarzanych przez daną placówkę i zweryfikowanie (w oparciu o art. 43 ustawy o ochronie danych osobowych), które z nich podlegają rejestracji, a które są z niej zwolnione.

Zbiór należy zgłosić do rejestracji przed rozpoczęciem przetwarzania danych, a więc przed pozyskaniem pierwszych danych do zbioru.

Jeśli zatem Państwa placówka jeszcze nie złożyła wniosków rejestracyjnych, należy to jak najszybciej uczynić, aby nie narazić się na odpowiedzialność karną. Zgodnie bowiem z art. 53 ustawy o ochronie danych osobowych „kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

Zgłoszenie i zarejestrowanie zbioru

Należy rozróżnić dwa etapy realizacji omawianego obowiązku, a mianowicie zgłoszenie i zarejestrowanie zbioru. Zgłaszamy zbiór poprzez złożenie wniosku rejestracyjnego.

Zarejestrowanie to kolejny etap – następuje, gdy poprawnie wniesiony wniosek zostanie już wpisany do rejestru prowadzonego przez GIODO. Warunkiem legalności przetwarzania tzw. danych zwykłych (np. imię, nazwisko, numer telefonu, adres) jest samo zgłoszenie zbioru do rejestracji (złożenie wniosku).

Aby rozpocząć przetwarzanie tzw. danych wrażliwych (ich katalog zawiera art. 27 ustawy o ochronie danych osobowych – są to np. dane o stanie zdrowia), należy zbiór zarejestrować. Inaczej mówiąc, w takiej sytuacji placówka musi zaczekać do momentu, gdy otrzyma zaświadczenie o zarejestrowaniu zbioru danych, i dopiero wtedy może rozpocząć dokonywanie jakichkolwiek operacji na danych.

Przejdźmy teraz do właściwej części omawianego zagadnienia – sposobów rejestracji oraz informacji, które należy obligatoryjnie umieścić we wniosku zgłaszanym do Generalnego Inspektora Ochrony Danych Osobowych.

Formularz zgłoszenia zbioru

Aby zgłosić zbiór danych osobowych, należy wypełnić formularz, którego wzór stanowi załącznik do rozporządzenia w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Wniosek można wypełnić odręcznie lub skorzystać z platformy „e-GIODO” (www.giodo.gov.pl). Platforma jest bardzo pomocna – dzięki systemowi podpowiedzi i komunikatów o popełnionych błędach wymusza podanie informacji, które zgodnie z przepisami powinny znaleźć się w zgłoszeniu, a dodatkowo uniemożliwia podanie informacji nieprecyzyjnych lub sprzecznych. Jeśli dysponujemy podpisem elektronicznym, wypełniony za pośrednictwem platformy wniosek możemy od razu przesłać do GIODO. Jeśli nie – wystarczy go wydrukować, podpisać, dodać pieczątkę i wysłać pocztą tradycyjną (lub złożyć osobiście w biurze GIODO w Warszawie).

 

Zgłoszenie rejestracyjne – struktura wniosku

Wniosek rejestracyjny składa się z 6 części (od A do F). Przed rozpoczęciem wypełniania wniosku należy określić, czego on dotyczy. Możliwości są trzy:

- zgłoszenie do rejestracji nowego zbioru,
- zgłoszenie zmian do już zarejestrowanego zbioru,
- zgłoszenie zbioru, w ramach którego placówka przetwarza tzw. dane wrażliwe.

Część A
W części A wniosku administrator danych (szkoła) określa nazwę zgłaszanego zbioru. Nazwa powinna być zwięzła i adekwatna do rodzaju przetwarzanych w nim danych, np. „kontrahenci”, „rejestr korespondencji” itd.

Część B
Część B dotyczy charakterystyki podmiotu dokonującego zgłoszenia – szkoły. Należy podać dokładną nazwę placówki, adres i numer REGON (pkt 1). W przypadku szkół zazwyczaj punkt 2 pozostanie pusty (lub przekreślony), gdyż szkoły – mając siedzibę w Polsce, nie muszą wyznaczać swoich przedstawicieli.

W tej części deklarujemy także, czy powierzyliśmy (lub planujemy powierzyć) przetwarzanie danych innemu podmiotowi. Bardzo istotne jest rozróżnienie powierzenia i udostępnienia danych. Szkoła powierza dane, jeśli np. korzysta z usług biura rachunkowego (wówczas podmiot ten, zajmując się obsługą kadrowo-księgową, ma dostęp do określonych danych osobowych).

Podobnie będzie w przypadku świadczenia usług informatycznych na rzecz placówki przez podmiot zewnętrzny. Z udostępnieniem danych mamy natomiast do czynienia, gdy przekazujemy dane i tracimy nad nimi kontrolę (podmiot, któremu przekazaliśmy dane, zaczyna przetwarzać je dla własnych celów).

W kolejnym punkcie części B musimy wskazać również podstawę prawną przetwarzania danych osobowych. To jeden z najważniejszych fragmentów wniosku – podstawa prawna świadczy bowiem o legalności przetwarzania danych zawartych w zgłaszanym do rejestracji zbiorze.

Do przesłanek dopuszczających przetwarzanie danych wymienionych w art. 23 ustawy o ochronie danych osobowych należą:

- zgoda – może mieć zastosowanie przykładowo w stosunku do zbioru „konkursy”, zawierającego dane uczniów z innych placówek, którzy biorą udział w konkursach organizowanych przez szkołę zgłaszającą zbiór;
- realizacja uprawnienia/spełnienie obowiązku wynikającego z przepisów – dotyczy to np. przepisów ustawy o systemie oświaty czy ustawy o systemie informacji oświatowej;
- realizacja umowy – będzie to przykładowo przesłanka legalizująca przetwarzanie danych w zbiorze „kontrahenci” (w związku z realizacją umów na dostawę materiałów biurowych do sekretariatu szkoły itd.);
- dobro publiczne;
- wypełnianie prawnie usprawiedliwionych celów – może mieć zastosowanie np. do prowadzenia zbioru „rejestr korespondencji”.

Część C
W części C wniosku (pkt 1) określamy cel przetwarzania danych w zbiorze – np. ewidencjonowanie korespondencji przychodzącej i wychodzącej, bieżąca obsługa sekretariatu itd. Dalej wskazujemy, jakich kategorii osób dotyczy zgłaszany do rejestracji zbiór (np. osób fizycznych prowadzących działalność gospodarczą będących dostawcami towarów i usług dla szkoły, nadawców i adresatów korespondencji itp.).

W punkcie 7 i 8 wymieniamy z kolei zakres danych, które mieszczą się w zgłaszanym zbiorze. Kolejny punkt wypełniamy tylko wówczas, gdy na samym początku wniosku odznaczyliśmy rubrykę trzecią (dotyczącą zgłaszania do rejestracji zbioru zawierającego tzw. dane wrażliwe).

Jeśli nie zakreśliliśmy w punkcie 9 żadnej odpowiedzi – od razu przechodzimy do punktu 11. Jeśli zgłaszany zbiór obejmuje dane wrażliwe – musimy podać podstawę prawną przetwarzania takich danych (art. 27 ustawy o ochronie danych osobowych).

Część D
Część D wniosku jest zatytułowana: „Sposób zbierania oraz udostępniania danych osobowych”. Wnioskodawca jest więc zobowiązany do wskazania źródła pozyskiwania danych – czy są otrzymywane od osób, których dotyczą, czy też pochodzą z innych źródeł.

Punkty 12 i 13 wypełniamy tylko, jeśli udostępniamy dane. Kolejny punkt zazwyczaj pozostanie pusty – chyba że placówka przekazuje dane osobowe do państwa nienależącego do Europejskiego Obszaru Gospodarczego.

Część E
Część E dotyczy szeroko pojętych środków technicznych i organizacyjnych służących zabezpieczeniu danych. W punkcie 15 musimy udzielić odpowiedzi na kilka pytań (w każdym podpunkcie zaznaczamy jednak wyłącznie po jednej odpowiedzi).

Podpunkt a) dotyczy sposobu prowadzenia zbioru. Prowadzenie centralnie (zarówno w wersji elektronicznej, jak i papierowej) oznacza, że dane są zlokalizowane w jednym miejscu (np. jednym budynku, pomieszczeniu). Jeśli jest więcej miejsc – zbiór prowadzony jest w architekturze rozproszonej.

Podpunkt b) odnosi się do tego, jaką formę ma zgłaszany zbiór – papierową czy elektroniczną. Jeśli np. zbiór „ewidencja korespondencji” jest prowadzony w obu formach, wówczas musimy zaznaczyć tylko drugą rubrykę (pierwszą zaznaczamy, gdy zbiór ma postać wyłącznie papierową).

Podpunkt c) – w tym miejscu wskazujemy, czy do przetwarzania danych w zbiorze jest używany system informatyczny połączony z siecią publiczną (internetem).

W punkcie 16 podpunkty od b) do d) muszą być odznaczone – obowiązek wdrożenia wymienionych w nich środków wynika bowiem z przepisów prawa. W podpunkcie a) można zaznaczyć tylko jedną odpowiedź. Należy na to zwrócić szczególną uwagę, ponieważ wiele błędów we wnioskach rejestracyjnych dotyczy właśnie tych dwóch rubryk. Zaznaczenie podpunktu f) nie jest obowiązkowe – jeśli jednak placówka zastosowała jeszcze inne środki – należy je wymienić (mogą to być np. wzmacniane drzwi, kraty w oknach, monitoring, alarmy, niszczarki do dokumentów itp.).

Ostatni fragment wniosku – część F odnosi się do zbiorów danych przetwarzanych w systemach informatycznych (zatem jeśli zgłoszenie dotyczy zbioru prowadzonego wyłącznie w wersji papierowej, tę część pozostawiamy niewypełnioną). Naszym zadaniem w tym przypadku jest wskazanie poziomu środków bezpieczeństwa zastosowanego przez szkołę.

Wytyczne wskazujące, jakiemu poziomowi podlega dany zbiór, znajdują się w § 6 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Poziom przynajmniej podwyższony należy zastosować, jeżeli szkoła przetwarza dane wrażliwe. W sytuacji gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych jest połączone z siecią publiczną, należy zastosować środki bezpieczeństwa na poziomie wysokim. W pozostałych przypadkach przetwarzania danych w systemie informatycznym wystarcza zastosowanie środków na poziomie podstawowym.

Ostatnim elementem jest złożenie podpisu i podbicie pieczątki przez osobę reprezentującą administratora danych – dyrektora. Bez tego wniosek nie zostanie przyjęty, więc nie można o tym zapomnieć.

 

Podsumowanie

Spełnienie obowiązku rejestracyjnego wynikającego z ustawy o ochronie danych osobowych nie jest zadaniem trudnym. Wystarczy po prostu bardzo dokładnie czytać poszczególne elementy wniosku. Z pewnością warto również skorzystać z platformy „e-GIODO”, a także materiałów informacyjnych zamieszczonych w zakładce eduGIODO (portal informacyjno-edukacyjny) na stronie głównej Generalnego Inspektora Ochrony Danych Osobowych. 

Jeśli napotkaliście Państwo na podobny problem i chcielibyście uzyskać indywidualną poradę ekspercką - prosimy o zadanie pytania ekspertom​.

Jeśli chcecie Państwo w nieograniczonym stopniu korzystać z indywidualnych
porad prawnych dostosowanych do potrzeb placówki prosimy o wykupienie
abonamentu.


Gwarantujemy zgodność z obowiązującymi
przepisami prawa.

PODOBNE PROBLEMY

Zamów bezpłatny biuletyn informacyjny. Śledź na bieżąco:
  • Komunikaty z Ministerstwa Edukacji Narodowej i Kuratorium Oświaty!
  • Porady i opinie ekspertów.
  • Nowe narzędzia dla dyrektorów placówek oświatowych.
  • Bieżące informacje prasowe





Copyright 2024 Forum Media Polska sp. z.o.o | Redesign: Duind.com

ZAWARTOŚĆ

KONTAKT