System Informacji Oświatowej
Wiele wątpliwości wśród osób zajmujących się ochroną danych osobowych w placówkach oświatowych budzi kwestia konieczności rejestracji zbiorów danych osobowych, prowadzonych na podstawie systemu informacji oświatowej.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
W świetle przepisów ustawy o systemie informacji oświatowej, jedynymi zbiorami, które mogą zawierać dane osobowe są zbiory dotyczące nauczycieli, wychowawców i innych pracowników pedagogicznych, o których mowa w art. 3 ust. 4 pkt 1 wskazanej ustawy.
Biorąc pod uwagę, iż administratorzy danych przetwarzanych w związku z zatrudnieniem zwolnieni są z obowiązku rejestracji takiego zbioru w GIODO, należy uznać, że z obowiązku rejestracji zwolnione są szkoły i inne placówki oświatowe, zatrudniające nauczycieli. Obowiązek zgłoszenia powyższych zbiorów do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych dotyczyć będzie natomiast jednostek samorządu terytorialnego (gmin, powiatów), gdyż one nie zatrudniają osób, których dane dotyczą
Księgi udziałów i księgi akcyjne
Dwie z pozoru podobne sytuacje, a jakże różne rozstrzygnięcia. Dane udziałowców spółki z ograniczoną odpowiedzialnością są powszechnie dostępne (upowszechnione). Wynika to z art. 8 ustawy o Krajowym Rejestrze Sądowym, zgodnie z którym rejestr jest jawny, a każdy ma prawo dostępu do zwartych w nim danych za pośrednictwem Centralnej Informacji Krajowego Rejestru Sądowego. Oznacza to, że zbiór danych osób fizycznych będących udziałowcami spółki z ograniczoną odpowiedzialnością nie wymaga zgłoszenia do rejestracji Generalnemu Inspektorowi.
Odmiennie przedstawia się sprawa rejestracji księgi akcyjnej. Zgodnie z art. 341 § 7 Kodeksu spółek handlowych księga akcyjna jest jawna dla każdego akcjonariusza. Nie jest więc ona powszechnie dostępna (udostępniana przez administratora danych), a co za tym idzie zwolnienie z obowiązku rejestracji nie znajduje uzasadnienia w art. 43 ust. 1 pkt 9 ustawy o ochronie danych osobowych. Zbiór danych osobowych akcjonariuszy spółki, jak również zbiór posiadaczy akcji na okaziciela podlegają obowiązkowi zgłoszenia do rejestracji.
Dane powszechnie dostępne
GIODO za dane powszechnie dostępne uznaje te dane, z którymi może się zapoznać nieograniczony krąg podmiotów, nie wykorzystując do tego szczególnego nakładu sił i środków. Administrator danych jest zwolniony z obowiązku rejestracji, jeżeli powszechnie dostępne są wszystkie, a nie tylko niektóre, dane zawarte w zbiorze danych. Dodać należy, że chodzi o dane, które administrator przetwarza, a nie dane, które zbiera ze zbiorów danych powszechnie dostępnych.
Diagnoza zgodności RODO.
Zrób to sam
Zatem w przypadku udostępniania nieograniczonemu kręgowi podmiotów wszystkich danych przetwarzanych w zbiorze (np. za pośrednictwem internetu), administrator danych nie jest zobowiązany do zgłoszenia tego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stosownie do art. 43 ust. 1 pkt 9 ustawy o ochronie danych osobowych.
Rejestr korespondencji w formie papierowej
Powszechnie uważa się, że rejestr korespondencji w postaci papierowej nie jest zbiorem danych osobowych. Nic bardziej mylnego! W rozumieniu ustawy o ochronie danych osobowych jest to zbiór danych i może podlegać zgłoszeniu do rejestracji GIODO. Dzieje się tak dlatego, że spełnia on definicję zbioru – zawiera chronologicznie wpisywane dane w postaci: daty wpływu, daty wysyłki i danych określających nadawcę lub adresata korespondencji.
Skoro zatem ustawa o ochronie danych osobowych ma zastosowanie do omawianego zbioru danych to taki zbiór będzie podlegał również obowiązkowi rejestracji u Generalnego Inspektora Ochrony Danych Osobowych. Nie zachodzi bowiem żadna z okoliczności, wymienionych w art. 43 ust. 1 ustawy o ochronie danych osobowych, zwalniających zbiór z rejestracji.
Dane przekazane w ramach zlecenia
Czasami dane osobowe przekazywane są przedsiębiorcy przez zleceniodawcę w celu wykonania umowy. Administratorem danych jest zlecający wykonanie pracy i tylko on jest uprawniony zarejestrować zbiór. Otrzymujący zlecenie nie rejestruje zbioru, gdyż przetwarza dane wyłącznie w imieniu zleceniodawcy.
Czytelnicy bibliotek
Jak traktować zbiór danych osobowych czytelników bibliotek? GIODO prosto wyjaśnia całą sytuację. Jeżeli biblioteki prowadzone przez szkoły lub zakłady pracy przetwarzają wyłącznie dane osób uczących się w nich, zatrudnionych lub świadczących im usługi na podstawie umów cywilnoprawnych, zbiory są zwolnione z obowiązku rejestracji. W przypadku, gdy w zbiorach znajdą się dane osób innych, niż wymienione w art. 43 ust. 1 pkt 4 ustawy, będą one podlegały obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi.
Przeczytaj część pierwszą: Które zbiory rejestrować w GIODO .1