Dziś rozpoczynamy cykl trzech wpisów poświęconych RODO w codziennej praktyce placówek oświatowych. Cykl przydatny dla dyrektorów szkół, nauczycieli i pracowników, jak również dla rodziców uczniów i samych uczniów.
Mając na uwadze fakt, że będą to trzy wpisy, dzisiejszy będzie najbardziej ogólny i zarysowujący problematykę przybliżając rolę Administratora Ochrony Danych.
Wielu z Was słyszało na pewno o nadawaniu uczniom pseudonimów lub po prostu o wyczytywaniu numerów w dzienniku zamiast imion i nazwisk bo RODO. W Internecie krążyły również informacje, jakoby w placówkach oświatowych konieczne były szafy pancerne do przechowywania dokumentacji, a prace plastyczne dzieci (do których wrócimy w ostatnim wpisie) nie mogły być podpisywane imieniem i nazwiskiem. Gros tych informacji (powielanych chętnie przez media) nie ma nic wspólnego ani z Ogólnym rozporządzeniem o ochronie danych osobowych (bo taką właśnie nazwę noszą przepisy nazywane kolokwialnie RODO) ani z rodzimymi przepisami dotyczącymi ochrony danych osobowych. Skąd biorą się absurdy RODO? I jakie znacznie dla tego wszystkiego ma zasada celowości opisana w RODO? Tego dowiecie się we wpisie numer 3.
Dziś natomiast przybliżę Wam podmioty pełniące kluczową rolę w placówce oświatowej, a mianowicie:
– Administrator Danych Osobowych (zwany ADO),
– Inspektor Ochrony Danych Osobowych (zwany IOD lub IODO, a żartobliwie – Yoda);
Inspektorowi Ochrony Danych poświęcony zostanie kolejny wpis, teraz zaś słów kilka o ADO, czyli Administratorze. Administratorem Danych Osobowych w placówkach oświatowych jest szkoła reprezentowana przez Dyrektora.
Administrator ma następujące obowiązki:
– zabezpieczanie danych osobowych,
– nadzór nad bezpieczeÅ„stwem danych osobowych,
– powoÅ‚anie Inspektora Ochrony Danych,
– audyty wewnÄ™trzne (o których szerzej we wpisie poÅ›wiÄ™conym Inspektorowi),
– przygotowanie odpowiednich umów przetwarzania danych osobowych,
– prowadzenie rejestru czynnoÅ›ci przetwarzania danych osobowych,
– zgÅ‚aszanie naruszeÅ„ ochrony danych osobowych,
– inne obowiÄ…zki informacyjne.
Najczęstsze zagadnienia związane z pracą placówki oświatowej dotyczą np. udzielania osobom trzecim informacji o uczniu. Administrator musi pamiętać, że jakichkolwiek informacji o uczniu może udzielić (a w szczególności informacji dotyczących tzw. danych wrażliwych, czyli np. pochodzenie rasowe lub etniczne, dane genetyczne, poglądy religijne czy dane dotyczące zdrowia), niezależnie od tego kto o nie wnioskuje, tylko w sytuacji wskazania przez wnioskodawcę prawidłowej podstawy prawnej, która rzeczywiście daje uprawnienie do uzyskania takich informacji.
Jeśli Administrator ma jakiekolwiek wątpliwości co do zasadności, celowości lub legalności udzielenia informacji o uczniu, winien przed dokonaniem takiej czynności skonsultować się z Inspektorem Ochrony Danych.
Jednym z wyjątków od wskazanych wyżej sytuacji są sytuacje nagłe wskazane w art. 9 ust. 2 lit. c RODO. Przepis ten brzmi następująco: przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
Jeśli więc zachodzi uprawdopodobnienie, że uczniowi placówki oświatowej w danej chwili zagraża niebezpieczeństwo, Administrator winien udzielić niezbędnych informacji w trybie pilnym. Oczywistym jest, że często nie ma możliwości zweryfikowania realnego zagrożenia, dlatego każdy przypadek należy rozpatrywać indywidualnie.
A kto jest najważniejszym pomocnikiem Administratora? Inspektor Ochrony Danych!
W następnym wpisie opowiem Wam, dlaczego IOD to tak samo ważna postać w placówce oświatowej jak Administrator oraz czego powinniście oczekiwać (dyrektorzy, nauczyciele i pracownicy szkół) od swojego Yody 😉