Właściciel prowadzący przedszkole bądź żłobek co do zasady zobowiązany będzie, za wyjątkiem przypadków określonych w ustawie o ochronie danych osobowych, do zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych prowadzonych przez siebie zbiorów danych osobowych.
Z ustawowego zwolnienia mogą korzystać m.in. dane pracowników przedszkola, zbiory danych przedszkolaków oraz ich rodziców czy też ewidencja osób współpracujących z przedszkolem. Nie oznacza to jednak, że przedszkole nie jest zobowiązane do przestrzegania przepisów o ochronie danych osobowych i związanych z nimi zasad oraz zgłoszenia w pewnych przypadkach zbiorów danych osobowych GIODO.
Obowiązkowa dokumentacja
W pierwszej kolejności należy mieć na uwadze obowiązek prowadzenia dokumentacji z zakresu ochrony danych osobowych, którą jest polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Każdy administrator danych, a jest nim osoba lub podmiot przetwarzający dane osobowe w określonym celu oraz samodzielnie decydujący o środkach przetwarzania tych danych, jest zobowiązany ją wdrożyć i zapoznać z nią swoich pracowników. Jest też zobowiązany do zapobiegania ewentualnym naruszeniom zasad w niej określonych przez pracowników i współpracowników. Przedszkole będzie zatem administratorem danych osobowych, przetwarzając te dane w określonych celach (najczęściej tymi celami będzie prowadzenie działalności wychowawczej i opiekuńczej). Wśród innych zobowiązań, należy mieć na uwadze obowiązek uzyskiwania pisemnych upoważnień od przedstawicieli ustawowych dzieci dotyczących odbierania ich z przedszkola, jak również posiadanie zgody rodziców na pozyskanie ich numerów telefonu w celach kontaktu w nagłych sprawach związanych z dziećmi. Dodatkowo, zgodnie ze stanowiskiem GIODO podanie do publicznej wiadomości – poprzez wywieszenie na drzwiach wejściowych przedszkola – listy zawierającej imiona i nazwiska dzieci zapisanych do przedszkola oraz imion i nazwisk ich rodziców będzie zgodne z przepisami prawa, jeśli przedszkole uzyska na to ich zgodę (zaleca się, aby ta zgoda był wyrażona w formie pisemnej).
Które zbiory danych podlegają zgłoszeniu GIODO?
Z punktu widzenia obowiązku zgłoszenia przez przedszkole bądź inną placówkę opiekuńczą ewentualnych zbiorów danych osobowych GIODO bądź braku takiego obowiązku istotne będzie określenie, jakie dane osobowe znajdują się w tym zbiorze, jaka jest podstawa ich przetwarzania oraz jaki jest cel przetwarzania danych znajdujących się w konkretnym zbiorze. Przykładowo, rejestracji podlegać będzie zbiór danych przedszkolaków, którzy w wyniku przeprowadzonej rekrutacji nie zostali przyjęci do przedszkola, zaś ich dane są nadal przechowywane albo zbiór kandydatów do przedszkola oraz ich przedstawicieli ustawowych. Są to przykłady zbiorów danych osobowych przetwarzanych w innym celu niż edukacja oraz nie dotyczących danych osób uczących się w przedszkolu. Innym przykładem zbioru danych wymagających zgłoszenia będzie również rejestr korespondencji bądź archiwum, o ile istnieje w określonej jednostce.
Możliwość powołania ABI
Na skutek nowelizacji przepisów o ochronie danych osobowych w 2015r. ustawodawca wprowadził pewną alternatywę dotyczącą powołania przez daną jednostkę (np. przedszkole, szkoła) administratora bezpieczeństwa informacji (tzw. ABI). Powołanie takiej osoby do pełnienia funkcji ABI w przedszkolu powoduje, że dana jednostka na podstawie art. 43 ust. 1a ustawy o ochronie danych osobowych jest zwolniona ze zgłaszania zbiorów danych osobowych do GIODO. Wówczas ABI prowadzi wewnętrzną ewidencję zbiorów danych osobowych. Wyjątek stanowią zbiory danych szczególnie chronionych (tzw. dane wrażliwe, jak np. informacje o stanie zdrowia), wymienione w art. 27 ustawy o ochronie danych osobowych, które nadal podlegają obowiązkowi zgłoszenia GIODO. Jeśli już zostanie powołany ABI, ma on za zadanie m.in. nadzorować ochronę danych osobowych u danego administratora danych osobowych, przeprowadzać cykliczne audyty zgodności przetwarzania danych z ustawą oraz wdrożyć w konkretnej jednostce niezbędną dokumentację.
od wejścia RODO wszędzie pojawił się obowiązek informowania przetwarzania danych i naruszeniach. przedszkola też przetwarzają dane rodziców, dzieci. niestety pojawiło się więcej formalności, ale jeśli chcemy dbać o bezpieczeństwo, trzeba informować, zapobiegać.
Warto dokładnie przestrzegać ustawy o ochronie danych osobowych ponieważ wielu rodziców jest bardzo roszczeniowych i mogą szukać pretekstów aby dokuczyć właścicielom jak i pracownikom różnych placówek i zawsze warto być przygotowanym nawet do kontroli urzędników i mieć dobrze prowadzoną dokumentację zawsze informować o przetwarzaniu danych podopiecznych do celów prowadzenia placówki.