Od 25 maja 2018 r. będzie obowiązywać ogólne rozporządzenie o ochronie danych osobowych, które obejmie również szkoły.

Monika Sewastianowicz: Czy dyrektorzy szkół już zaczęli przygotowywać się na RODO?

Dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p.: Bardziej świadomi na pewno, wszystko zależy od tego, czy już dzisiaj realizują przepisy ustawy o ochronie danych osobowych. Prowadzę dość szeroką działalność doradczą i szkoleniową, więc bezpośredni kontakt z klientami z sektora oświaty pokazuje, że tak naprawdę kluczowe zawsze okazuje się to, czy dyrektorzy zdają sobie sprawę, jak ważne jest przestrzeganie tych regulacji.

Jeżeli szkoła ma już należycie przygotowaną dokumentację, nie taką "półkową", skądś przepisaną, tylko rzetelnie opracowaną analizę potrzeb, dobrze opisany proces przetwarzania danych i wdrożone zabezpieczenia oraz, co równie ważne, świadomy personel - to nie będzie to rewolucja, a płynne przejście na nowy system.

Oczywiście dokumentację należy przejrzeć, udoskonalić i dostosować do RODO. To nie będzie tak skomplikowane, ale bez wątpienia trzeba się będzie rozejrzeć za inspektorem ochrony danych osobowych.

Każda szkoła musi go powołać?

Tak, inspektor ochrony danych osobowych musi zostać wyznaczony w każdej szkole i w każdym przedszkolu - mam tu na myśli podmioty, które są częścią sektora finansów publicznych. Jeżeli faktycznie, tak jak w projekcie ustawy, ta definicja podmiotu będzie odwoływała się do ustawy o finansach publicznych, to można przyjąć, że niepubliczne szkoły i placówki będą z takiego obowiązku zwolnione. Rekomendowałabym im powołanie inspektora, ale nie jest to w ich wypadku kwestia priorytetowa.

A co z dyrektorami, którzy nie przykładali się specjalnie do przygotowania dokumentacji?

Zdarzają się niestety takie placówki, ich dyrektorzy będą mieli duże problemy, bo od początku będą musieli przeprowadzić te procesy, które ci przygotowani już mają za sobą. Trzeba więc od początku badać, gdzie i na jakiej podstawie są przetwarzane dane.

Szczególnie trudne może być zrozumienie zamysłu, który stoi za ochroną danych osobowych, bo jeżeli uznają, że ochrona polega jedynie na nieudostępnianiu informacji, to daleka droga przed nimi.

Nie bez znaczenia będzie też kwestia pieniędzy - przeprowadzenie całego procesu od początku wymaga większych nakładów finansowych, do czego niezbyt chętnie podchodzić mogą organy prowadzące.

Co po kolei powinien zrobić dyrektor, który chce, by jego szkoła była dobrze przygotowana na wejście w życie nowych przepisów?

Gdybym była dyrektorem szkoły, najpierw przejrzałabym dokumenty i procedury, które już mam. Sprawdziłabym, w jakim stopniu przystają do rozwiązań wprowadzanych w RODO.

Później zinwentaryzowałabym wszystkie gromadzone dane osobowe tworzące zbiory danych i zastanowiła nad tym, na jakiej podstawie prawnej wynikającej z RODO będę te dane przetwarzać i czy w ogóle mogę to robić.

Zastanowiłabym się też nad kwestiami powierzenia przetwarzania danych, dyrektorzy często nie zdają sobie sprawy, że zawierając umowy z różnymi wykonawcami, np. oferującymi im dzienniki elektroniczne czy prowadzenie BIP, powierzają przetwarzanie danych, więc koniecznie jest przejrzenie tych dokumentów.

Zajęłabym się kwestią powołania inspektora ochrony danych osobowych, którym będzie osoba zatrudniona w szkole lub działająca na zasadach outsourcingu.

Inspektor może być zatrudniony również w Centrum Usług Wspólnych, co jednak zależy od organu prowadzącego i uchwałodawczego, które muszą wyposażyć CUW w tego typu kompetencje. Z mojego doświadczenia wynika, że rzadko ktoś brał to pod uwagę, mimo że ustawa powołująca takie podmioty weszła w życie, gdy prace nad RODO były na ukończeniu.

Na miejscu dyrektora przeanalizowałabym też klauzule zgód i przeanalizowałabym, czy dalej mogę je stosować oraz zapoznałabym się bliżej z zasadami wyrażania zgody przez dzieci w przypadku tzw. usług społeczeństwa informacynego - to jedna z nowości wprowadzona w RODO.

Wydawałoby się, że przepisy o zgodach wyrażanych przez dzieci dotyczyć będą raczej podmiotów świadczących usługi elektroniczne. Jak mają się do tego szkoły?

Dzieci korzystają z internetu na lekcjach i uczestniczą w bardzo wielu projektach z ramienia szkoły, gdzie zaczyna ona przetwarzać dane osobowe w szerszym zakresie i trochę inaczej niż tylko w związku z realizacją prawa oświatowego.

Biorą np. udział w inicjatywach, w których konieczne jest założenie dla nich konta na jakimś portalu, a zatem szkoła pośrednicząc w tym procesie, wykracza poza zakres ustawy. To właśnie w takich przypadkach pojawia się problem pytania o zgodę oraz jej konstrukcji, bo mamy do czynienia ze świadczeniem usług społeczeństwa informacyjnego, o którym wspomina RODO.

RODO wprowadza kodeksy dobrych praktyk dotyczące przetwarzania danych, czy dotyczy to także szkół?

Najpierw ktoś musiałby taki kodeks napisać, a nie słyszałam o takiej inicjatywie, nie podjęła jej chyba na razie żadna organizacja nauczycielska. To są tak zwane kodeksy postępowań i żeby one mogły zadziałać tak, jak wskazuje RODO, powinny przejść przez procedurę zatwierdzenia.

Obawiam się, że tego typu kodeksy szybko nie powstaną z prostego powodu, aby je stworzyć musimy wiedzieć, jakie są te dobre praktyki, a mam nieodparte wrażenie, że bardzo często jesteśmy od tego dalecy.

Tu podam typowy szkolny przykład - strona internetowa szkoły i wrzucane tam informacje, przecież bardzo często zawierają one mnóstwo danych osobowych.

Albo proszę sobie wyobrazić sytuację, gdy jedno z dzieci w podstawówce obchodzi urodziny, cała klasa częstuje się cukierkami, śpiewa mu: "Sto lat", a nauczycielka robi zdjęcia i wrzuca je - bez zbierania żadnych zgód - na swojego Facebooka. Takie przypadki się zdarzają, a przecież nie ma żadnej podstawy prawnej do informowania całego świata, że: "Jaś kończy 7 lat".

Tego typu przykładów jest mnóstwo, my ogólnie zbieramy za dużo danych i rzadko o tym informujemy, a przecież uprawnienia osób, których dane dotyczą, są bardzo rozbudowane już na gruncie obowiązujących przepisów. I tego, mam wrażenie, jesteśmy świadomi dużo rzadziej, niż tej części zakazującej udostępniania danych.

W dzisiejszych czasach, kiedy ludzie coraz więcej wiedzą o ochronie danych i dbają o swoją prywatność, może być to bardzo ryzykowne dla takiej placówki, bo trzeba pamiętać, że administratorem tutaj nie jest nauczycielka, która tak nierozważnie postępuje. Wszelkie zatem roszczenia kierowane byłyby do szkoły, czyli w praktyce do dyrektora.

A jak jest z polityką bezpieczeństwa, do posiadania której zobowiązują przepisy o ochronie danych osobowych?

Nie wyrzucałabym takiego dokumentu, aczkolwiek z przepisów RODO nie wynika obowiązek ich posiadania. Jest tylko napisane, że należy wykazywać zgodność z prawem, nie jest jednak napisane jak - w rozporządzeniu znajdziemy jedynie wzmiankę, że można to robić za pomocą odpowiednich polityk.

Ale jeżeli są to rzetelnie napisane procedury, to przecież nie znikają wraz z wejściem w życie nowych przepisów. Zwłaszcza, że i tak musimy wykazać, że przetwarzamy dane zgodnie z prawem. W jaki sposób to wykażemy, że w naszej placówce są jakieś procedury, które chronią dane, gdy zrezygnujemy z polityki i z instrukcji?

Nad nowymi przepisami ws. ochrony danych osobowych pracuje także rząd, czy będą tam też rozwiązania dotyczące oświaty?

To, że tych ustaw jeszcze nie ma, powoduje wiele problemów, bo tak naprawdę my niewiele jeszcze wiemy, jak stosowane będą nowe przepisy o ochronie danych osobowych. Wiemy, że stosujemy RODO, wiemy, że jest bardzo rygorystyczne, ale może się okazać, że te ustawy w jakimś stopniu zmodyfikują procedury wynikające z rozporządzenia, choć na pewno ich nie wyeliminują – na to na pewno nie możemy liczyć

Może być jednak tak, że przyjęte rozwiązania w naszych przepisach krajowych spowodują, że dyrektorom będzie łatwiej, że obowiązki nie będą tak dotkliwe, ale nie oznacza, że będą one w ogóle wyłączone. Proponowałabym, by nie czekać na te rozwiązania i rozpocząć wdrażanie RODO jak najszybciej, bo nawet jeżeli przepisy okażą się mniej restrykcyjne, lepiej będzie z części procedur zrezygnować, niż tworzyć je w pośpiechu, który nigdy nie jest dobrym doradcą.

Jedną ze zmian ma być chyba ograniczenie wysokości kar za złamanie przepisów...

Tak, kary dla podmiotów sektora finansów publicznych mają być niższe, górną granicą ma być 100.000 zł. Ale to w praktyce niewiele wnosi w życie szkół, w ogóle te kary mają być proporcjonalne i dotkliwe, więc nawet gdyby te maksymalne wynosiły miliony euro, to wobec szkoły nikt by ich nie zastosował. Dla szkoły tak samo dotkliwa jest kara i miliona euro i 100.000 zł, bo jedne i drugie pieniądze są tak samo nieosiągalne.

Obniżenie kar to akurat żaden argument, by RODO nie stosować. Wyobraźmy sobie małe przedszkole i załóżmy, że kontrola stwierdzi tam nieprawidłowości, to przecież organ - niezależnie od tego, jaka jest górna granica kary, nie nałoży na nie ani 100.000, ani kilku milionów. Nałoży karę odpowiednio dotkliwą, ale proporcjonalną - myślę, że taką byłoby już np. pięć tysięcy złotych.

A jak jest z odpowiedzialnością dyrektora, czy przez jakieś jego niedopatrzenie szkoła zapłaci karę?

Może się okazać, że pod pewnymi warunkami tak. Odpowiedzialność takiego dyrektora to może być również odpowiedzialność karna na podstawie przepisów kodeksu karnego. Na gruncie obowiązujących przepisów odpowiedzialność karna wynika wprost z ustawy o ochronie danych osobowych, w RODO nie przewiduje się jej wprost, może być jednak wprowadzona przez oczekiwane przepisy krajowe.

Odpowiedzialność związana z karami administracyjnymi, nie jest natomiast odpowiedzialnością indywidualną osoby fizycznej, tylko to jest odpowiedzialność administratora, czyli szkoły, co jednak oczywiście przekłada się na sytuację osobistą dyrektora, bo może okazać się, że organ prowadzący prawdopodobnie nie będzie chciał kontynuować współpracy z osobą, która naraziła go na koszty i na uszczuplenie zaufania ze strony osób, których dane dotyczą, a więc chociażby uczniów i ich rodziców.

Unijne rozporządzenie przewiduje również odpowiedzialność cywilną, ale tu chodzi o odpowiedzialność administratora lub podmiotu przetwarzającego, a nie osobistą odpowiedzialność dyrektora. To jednak będzie trudniejsze do rozróżnienia w przypadku placówek niepublicznych, gdzie dyrektor nie może oglądać się na budżet gminy lub miasta. Ta dolegliwość jest zbliżona do tej w biznesie, duża kara lub kwota odszkodowania może doprowadzić podmiot do tarapatów finansowych.

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz>>