W związku z podpisaniem w dniu 3 kwietnia 2019 r. przez Prezydenta RP ustawy wprowadzającej zmiany w stosowaniu tzw. RODO, niniejszym tekstem rozpoczynamy cykl artykułów traktujących o zmianach tych, istotnych z punktu widzenia szkół i placówek oświatowych. Na pierwszy ogień zmiany w Ustawie Prawo Oświatowe.
W dniu 3 kwietnia 2019 r. Prezydent podpisał ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ustawa ta wprowadza zmiany aż w 162 innych aktach prawnych i ma wejść w życie w 14 dni od ogłoszenia, zatem mają one zacząć obowiązywać z dniem 5 maja 2019 r.
Celem tych zmian jest dostosowanie przepisów naszego prawa do RODO – usunięcie tych sprzecznych, powielających zapisy RODO, a także doprecyzowanie zapisów już istniejących a mających wpływ na przetwarzanie danych osobowych. Jak się łatwo domyślić wprowadzone zmiany i nowe zapisy mają także wpływ na funkcjonowanie szkół i placówek oświatowych. Na co należy zwrócić uwagę?
Zmiany do ustawy Prawo oświatowe zostały wprowadzone w art. 148 cytowanej na wstępie ustawy z dnia 21 lutego 2019 r i tak:
- dodany art. 30a wprost wskazuje ustawę jako podstawę prawną przetwarzania danych osobowych w szkołach i placówkach systemu oświaty, a także przez organy prowadzące, sprawujące nadzór pedagogiczny, ale w zakresie niezbędnych do wykonywania zadań i obowiązków wynikających z ustawy, oznacza to, że przetwarzanie danych osobowych w tych jednostkach w na podstawie i zgodnie z zapisami ustawy nie wymaga zgody osób, których dane są przetwarzane;
- nauczyciele oraz inni pracownicy szkół i placówek, organy prowadzące i sprawujące nadzór pedagogiczny, którzy realizują czynności związane z przetwarzaniem danych sensytywnych, zostali zobowiązani do zachowania w tajemnicy informacji, które powzięli w związku z wykonywaniem pracy lub pełnieniem funkcji (art. 30a ust. 2);
- ww. osoby zostały zwolnione z obowiązku stosowania się do obowiązku wynikającego z art. 30a ust. 2 np.: w przypadku zagrożenia zdrowia ucznia lub, gdy uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;
- do obowiązków dyrektora szkoły/placówki została dodana (ust. 12 do art. 68) konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych osobowych przez szkołę z przepisami o ochronie danych osobowych – chodzi tu o zabezpieczenia fizyczne (szafki zamykane na klucz, monitoring – wprowadzony zgodnie z art. 108a ustawy Prawo oświatowe), ale też odpowiednią dokumentację, regulaminy, które wskażą prawa i obowiązki osób przetwarzających dane osobowe, organizację dostępu do zapisanych danych, do pomieszczeń. Nowelizując statut warto także dodać ten obowiązek do katalogu obowiązków dyrektora (!).
Pełna treść wprowadzonych zapisów znajduje się poniżej:
„Po art. 30 dodaje się art. 30a w brzmieniu:
„Art. 30a. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.
2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.
3. Przepisu ust. 2 nie stosuje się:
1) w przypadku zagrożenia zdrowia ucznia;
2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;
3) w przypadku gdy przewidują to przepisy szczególne.””
"W art. 68 dodaje się pkt 12 w brzmieniu:
„12) wdraża odpowiednie środki techniczne i organizacyjne zapewniające zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych.""
Zaprezentowane przepisy z pewnością mocno nie rewolucjonizują przetwarzania danych w placówkach oświatowych, z całą pewnością jednak wymagają od Państwa dostosowania niektórych już istniejących w placówce dokumentów. Mowa tu oczywiście przede wszystkim o Państwa dokumentacji w zakresie przetwarzania danych, gdzie należy dokonać stosownej aktualizacji (podstawa prawna przetwarzania danych osobowych - np. w klauzulach informacyjnych dla uczniów i rodziców, rejestrze czynności przetwarzania), ale też niestety i statutu.
Proszę pamiętać, że o ile zmiany w procedurach i regulaminach wprowadzić może sam Dyrektor, o tyle zmiany w statucie szkoły wymagają już udziału i uchwały rady pedagogicznej. Na koniec nieśmiało przypomnę o funkcji Inspektora Ochrony Danych, który powinien wesprzeć Dyrektora zarówno w ich opracowaniu, ale przede wszystkim w informowaniu o i przygotowaniu pracowników do stosowania nowych zapisów.
Już wkrótce artykuł: „Zmiany w stosowaniu RODO a Kodeks pracy”, a także zapraszamy na szkolenia otwarte dotyczące ochrony danych osobowych, zadań, obowiązków IOD i sposobów ich dokumentowania, a także kontroli UODO - zaczynamy już 8 maja!
Podstawa prawna:
Beata Linowska
14-04-2019