Drugi wpis z cyklu RODO w oświacie.
Dziś opowiem Wam dlaczego tak ważnymi postaciami dla placówek oświatowych są Inspektorzy Ochrony Danych (IOD).
Jak wskazywałem w poprzednim wpisie, powołanie Inspektora należy do obowiązków Administratora Danych Osobowych, czyli Dyrektora placówki oświatowej. Dane IOD powinny znajdować się też na stronie internetowej danej szkoły czy przedszkola, a jeżeli podmiot nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny (np. na szkolnej tablicy ogłoszeń).
Zgodnie z art. 10 ust. 1 ustawy o ochronie danych osobowych (UODO) podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.
Kto może zostać Inspektorem Ochrony Danych?
Zgodnie z art. 37 ust. 5 RODO IOD powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, oraz umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Kwestię tę precyzuje motyw art. 97 RODO, zgodnie z którym niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający.
Kwalifikacje IOD mają zapewnić, aby wypełniał on swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Zgodnie z opinią Grupy Roboczej Art. 29, oceniając wymagany poziom kwalifikacji, należy uwzględnić następujące elementy:
1. znajomość krajowych i europejskich przepisów i praktyk w zakresie ochrony danych;
2. zrozumienie przeprowadzanych operacji przetwarzania;
3. zrozumienie technologii informacyjnych i bezpieczeństwa danych;
4. znajomość kontekstu biznesowego i organizacji administratora (procesora);
5. zdolność promowania kultury ochrony danych w organizacji.
Czyli tak naprawdę brak jest KONKRETNYCH wskazań co do kwalifikacji Inspektora, dlatego tak istotne jest odpowiednie zbadanie rynku przed wyborem danej osoby do współpracy jako Inspektora dla placówki oświatowej.
Jakie sÄ… zadania obligatoryjne Inspektora Ochrony Danych?
1. odgrywanie roli punktu kontaktowego dla podmiotów danych (osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO – art. 38 ust. 4 RODO);
2. informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów UE lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; w tym zakresie IOD występuje w potrójnej roli: wskazuje obowiązki, doradza co do sposobu ich wykonania, a następnie ocenia poprawność wykonania tych obowiązków;
3. monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
4. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
5. współpraca z organem nadzorczym;
6. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Dlaczego wykwalifikowany Inspektor jest tak ważny dla placówki oświatowej?
Dlatego, że to Inspektor doradza Administratorowi w kwestiach ochrony danych osobowych. To IOD ma za zadanie udzielać wyjaśnień i wykładni przepisów i w przypadku jakichkolwiek wątpliwości powziętych przez Administratora lub pracowników placówek oświatowych zajmować konkretne i zdecydowane stanowisko. To właśnie opiniami prawnymi Inspektora powinien podpierać się Administrator we wszystkich spornych kwestiach.
Dobrze współpracujący z placówką oświatową Inspektor to 90% sukcesu w ochronie danych osobowych w szkole lub przedszkolu!