Ministerstwo Cyfryzacji pracuje nad nową ustawą o ochronie danych osobowych. Na jakim etapie są prace?
Projekt ustawy o ochronie danych osobowych, który będzie ustawą ogólną, został skierowany na Komitet ds. Europejskich oraz Komitet Stały Rady Ministrów. Chcemy, by maksymalnie na początku kwietnia trafił na posiedzenie Rady Ministrów, aby do 25 maja mógł wejść w życie.
Co z przepisami sektorowymi?
Cały czas pracujemy nad nimi wspólnie z innymi resortami. Jest to związane z tym, że docelowo mają one zmienić około 150 ustaw. Na początku marca zorganizujemy konferencję uzgodnieniową w tej sprawie.
Zdążą państwo z tymi zmianami do wejścia w życie RODO?
Liczę, że tak. Pracujemy na okrągło, skupiając się wyłącznie na legislacji. To ogromny pakiet zmian.
Co się w nim znajdzie?
Na przykład wymiar sprawiedliwości…
A samorządy?
Regulacje częściowo dotyczące samorządów będą ujęte w ustawie głównej. W niej znajdą się kwestie kar czy inspektorów ochrony danych. Nowa ustawa o ochronie danych osobowych będzie trzykrotnie większa niż obowiązująca dzisiaj, która liczy niewiele ponad 50 artykułów.
Co ze szkołami? W nich są przetwarzane ogromne ilości danych osobowych nauczycieli, uczniów, rodziców. Będą jakieś szczególne rozwiązania?
Tak, choć może dziwić, że zostaną wprowadzone w kodeksie pracy, a zastosowane również w przypadku szkół. Chodzi o monitoring wizyjny. My co prawda uregulujemy kwestie monitoringu w zakładach pracy, ale właśnie takim zakładem jest szkoła. Chcemy zdefiniować, kiedy monitoring będzie miał zastosowanie i przede wszystkim wskazać obszary, które nie będą nim objęte. Ten ostatni element jest w przypadku szkół najbardziej konfliktowy. Wspólnie z Ministerstwem Edukacji pracujemy nad zmianą przepisów sektorowych w tym zakresie.
A co z danymi wrażliwymi w szkołach?
Wadą regulacji ochrony danych osobowych jest to, że znajdują zastosowanie wyłącznie od momentu, gdy dane podlegają utrwaleniu. Gros przypadków dotyczy jednak zdarzeń, gdy dane ujawniane są ustnie, a zgromadzone zostały wyłącznie w głowie nauczyciela lub innych uczniów. W takich sytuacjach bezprawne operowanie takimi informacjami może skutkować naruszeniem dóbr osobistych. W konsekwencji dziecko może być szykanowane przez swoich kolegów.
<iframe width="632" height="358" src="https://www.youtube.com/embed/PdjspsSdhhY" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen=""></iframe>
Zdarza się, że sami uczniowie naruszają przepisy dotyczące ochrony danych osobowych podczas zbiórek charytatywnych czy zbierając pieniądze na wycieczki. Kto odpowie za ich działania?
Za ochronę danych osobowych w szkole odpowiada dyrektor jako administrator danych osobowych. Odpowiedzialności nie będzie zatem ponosił uczeń, a raczej szkoła. Jeśli zdarzy się, że uczeń wyniesie na zewnątrz informacje, albo udostępni listę, kto zapłacił albo nie za wycieczkę czy że jeden uczeń zapłacił mniej, to za takie działanie odpowiedzialność może ponosić szkoła. Ocenie podlegało będzie też to, jak szkoła dostosowała się do zasad zabezpieczania takich danych i przeciwdziałania ich wyciekowi. Trzeba zatem pamiętać, by świadomość ochrony danych istniała nie tylko wśród nauczycieli, ale też uczniów. Dyrektor nie musi jednak osobiście opanowywać ogromu wiedzy dotyczącej RODO. Do tego powinien zatrudnić specjalistę.
Samorządowcy zwracają uwagę, że przepisy nie przewidują stanowiska w urzędzie ds. ochrony danych osobowych.
Musimy starać się nadać mu inną formalną funkcję. W ministerstwie uznaliśmy, że najlepsza będzie funkcja doradcy ministra, która jest samodzielna. Trzeba jednak uważać podczas łączenia stanowisk. W samorządach funkcjonuje niefortunna praktyka, że administratorami bezpieczeństwa informacji są pracownicy kadr, informatycy czy osoby zajmujące się BHP. To ostatnie ma niewiele wspólnego z bezpieczeństwem informacji. My do takich praktyk podchodzimy sceptycznie. Trzeba pamiętać, że stanowisko powinno być niezależne i co do zasady samodzielne. Oczywiście łączenie stanowisk jest dopuszczalne, jeśli nie są to stanowiska kierownicze i nie dochodzi do konfliktu interesów. Pracownik działu IT i inspektor ds. ochrony danych to przykład oczywistego konfliktu interesów. Inspektor nie może bowiem kontrolować sam siebie jako kierownika działu IT. Samorządy zwracają nam uwagę na coś ważniejszego. W przypadku administracji rządowej, czy w służbie cywilnej, urzędnicy mają gwarancje niezależności, utrudnione zwalnianie z pracy, gwarancje finansowe, tymczasem w administracji samorządowej tego nie ma. Pojawiają się obawy, że nadgorliwy inspektor ochrony danych będzie traktowany jak zło konieczne i będzie mógł być przez to zwalniany. Tym bardziej ważne jest, aby taka osoba miała nadaną odpowiednią funkcję wewnątrz organizacji.
Powołanie inspektorów ochrony danych osobowych to kolejny koszt dla samorządowych budżetów.
To na pewno wyzwanie dla samorządów. Warto jednak pamiętać, że przepisy pozwalają na powołanie jednego inspektora ochrony danych dla kilku organów. W naszej ocenie byłoby dobrze, gdyby podmioty, które powołują jednego inspektora, miały pokrewne działania. Dla przykładu, niech to będzie kilka szkół podstawowych w gminie.
Jakie jeszcze wyzwania stoją przed oświatą w związku z RODO?
Bardzo dużym wyzwaniem jest korzystanie z elektronicznych dzienników, które w przyszłości mogą być zaopatrzone w wariant profilowania. Chodzi o system, który byłby w stanie wskazać, którzy uczniowie kwalifikują się np. do nagród. Z puli 30 uczniów taki system wskazuje 10, którzy ze względu na oceny i liczbę uwag są rekomendowani do wyróżnienia. Musimy jednak pamiętać, że automatyczne podejmowanie decyzji na podstawie profilowania nie jest uregulowane w przepisach prawnych. Aby móc wykorzystywać taki system, należy uzyskać zgodę.
Jakie ma pan praktyczne wskazówki dla samorządów, które przygotowują się do wdrożenia RODO?
Samorządy to element administracji publicznej, w związku z tym nie powinny ograniczać gromadzenia i przetwarzania danych osobowych na podstawie zgód. Warto w trakcie przygotowań eliminować takie przypadki. Urząd powinien zmapować cały proces przetwarzania danych osobowych w organizacji i wyodrębnić procesy przetwarzania danych osobowych, czyli np. obieg umów z ich kategoryzacją, skargi od interesantów, systemy elektroniczne. Ministerstwo udostępnia przewodniki po RODO, które mogą być przydatne. Jakiś czas temu udostępniliśmy przewodnik dla przedsiębiorców RODO Informator, z którego spokojnie mogą korzystać samorządowcy.
A kodeksy branżowe?
To kolejna rzecz, która wiele ułatwi, również w oświacie. Związek Nauczycielstwa Polskiego jest organizacją, która mogłaby podjąć inicjatywę stworzenia kodeksu. Akceptacją kodeksów zajmuje się GIODO, a nie ministerstwo, ale również do nas przychodzą przedstawiciele wielu branż i radzą się w zakresie sporządzania kodeksów. Muszę wskazać, że mało szkół kieruje do nas pytania w związku z reformą.
Czy to oznacza, że są najsłabiej przygotowane?
Nie chcę formułować takich wniosków, nie mam takiej wiedzy. Z naszych informacji wynika, że wiedza na temat RODO wzrasta, jednak dalej jest bardzo niska. Sam fakt, że Związek Nauczycielstwa Polskiego w ramach opiniowania projektów wskazał, że nie ma żadnych uwag do zmian ponad 140 ustaw świadczy o tym, że nie jest to istotny przedmiot zainteresowania związku.
