W związku ze zbliżającym się początkiem roku szkolnego chcielibyśmy przypomnieć o wybranych obowiązkach związanych z przetwarzaniem danych osobowych. Należy przy tym mieć świadomość, że mogą dotyczyć one nie tylko nowych uczniów, ale także ich rodziców, osób upoważnionych do odbioru dzieci ze szkoły oraz pracowników, którzy rozpoczynają pracę od nowego roku szkolnego.
Szczególną uwagę prosimy zwrócić na:
Adekwatność pozyskiwanych danych (unikanie pozyskiwania danych nadmiarowych - minimalizacja).
Realizację obowiązku informacyjnego.
Nadawanie upoważnień oraz aktualizację ewidencji nadanych upoważnień.
MINIMALIZACJA DANYCH
Zakres pozyskiwanych danych osobowych powinien być ograniczony. Kryteria, które należy przyjąć przy ocenie czy dane nie są nadmiarowe mogą wynikać m.in. z przepisów regulujących dany kontekst. Na przykład, każda jednostka oświatowa zobowiązana jest do prowadzenia dokumentacji (zarówno z zakresu działalności oświatowej jak i tej wynikającej z przepisów związanych z zatrudnieniem), w której mogą znajdować się dane osobowe. Wówczas należy wymagać tylko i wyłącznie takich danych, które będą niezbędne do prawidłowego prowadzenie tej dokumentacji.
Drugim kryterium, które możemy zastosować będzie odpowiedź na pytanie jaki zestaw danych będzie nam potrzebny do realizacji celu w jakim je pozyskujemy. Za dobry przykład może posłużyć upoważnienie do odbioru dzieci, w którym rodzice (prawni opiekunowie) wskazują osoby, które w razie ich nieosiągalności mogą odebrać ich dziecko. Nie ma przepisów regulujących wprost tę kwestię, stąd konieczne jest zważenie jaki minimalny zakres informacji pozwoli nam na jednoznaczne stwierdzenie, że dana osoba jest tą, za którą się podaje, a która została wskazana w upoważnieniu.
OBOWIĄZEK INFORMACYJNY
Każda osoba, której dane osobowe jednostka oświatowa zaczyna przetwarzać musi zostać poinformowana o:
Danych administratora.
Danych inspektora ochrony danych.
Celu w jakim dane będą przetwarzane.
Podstawach prawnych przetwarzania (jeśli takie występują).
Źródle pochodzenia danych, jeżeli jest inne niż osoba, której dotyczą.
Przesłankach przetwarzania (zgoda, obowiązek prawny, zawarcie umowy itd.).
Prawach, które przysługują osobie w związku z przetwarzaniem jej danych.
Okresie przechowywania danych osobowych.
Odbiorcach lub kategoriach odbiorców, którym przetwarzane dane są udostępniane.
Informacji o przekazywaniu danych do państw spoza EOG lub organizacji międzynarodowych.
Informacji o tym, czy dane podlegają zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu.
Powyższe informacje należy przekazać przede wszystkim:
Rodzicom uczniów, których dane będą przetwarzane w związku z realizacją obowiązków wynikających ze statutowych i ustawowych obowiązków ciążących na jednostce oświatowej.
Osobom, które zostały upoważnione przez rodziców do odbioru uczniów po zajęciach.
Nowym pracownikom, którzy mają podjąć zatrudnienie.
UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
Zgodnie z art. 29 RODO, każda osoba, która w imieniu administratora danych osobowych przetwarza dane osobowe musi posiadać do tego upoważnienie. Z reguły upoważnienia nadaje się nauczycielom czy pracownikom administracyjnym. Czas trwania upoważnienia powinien pokrywać się z czasem obowiązywania, np. umowy regulującej stosunek pracy. Drugim aspektem, który należy uwzględnić w tym przypadku jest określenie zakresu upoważnienia. Rekomendujemy, żeby opierał się o czynności wymienione w prowadzonym Rejestrze Czynności Przetwarzania.
Należy także pamiętać, żeby upoważnienie wpisać do prowadzonej ewidencji pod kolejnym numerem.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: