Jak szczegółowy powinien być rejestr czynności przetwarzania w przedszkolach? Czy mogliby Państwo podać konkretne przykłady dotyczące zakresu danych i czynności przetwarzania w odniesieniu do wychowanka przedszkola?
ODPOWIEDŹ
Szczegółowość prowadzenia Rejestru Czynności Przetwarzania danych zależy od Administratora. Kluczowe jest, aby Rejestr zawierał elementy wskazane w art. 30 ust. 1 RODO, w tym:
- Dane kontaktowe administratora oraz, jeśli ma to zastosowanie, współadministratorów, przedstawiciela administratora i inspektora ochrony danych;
- Cele przetwarzania danych;
- Opis kategorii osób, których dane dotyczą, oraz kategorii przetwarzanych danych osobowych;
- Kategorie odbiorców danych, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;
- W przypadku przekazywania danych do państw trzecich lub organizacji międzynarodowych – wskazanie kraju lub organizacji oraz dokumentacja dotycząca zastosowanych zabezpieczeń;
- Planowane terminy usunięcia danych, jeżeli jest to możliwe, dla poszczególnych kategorii danych;
- Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, jeśli jest to możliwe.
Administrator decyduje o zakresie zbieranych danych, ponieważ to on ustala cele oraz sposoby ich przetwarzania. Ponadto zakres i specyfika działań mogą być uzależnione od przepisów sektorowych, takich jak prawo oświatowe. Zachęcam do zapoznania się z „Poradnikiem Ochrona danych osobowych w szkołach i placówkach oświatowych”, opracowanym przez UODO i MEN, który może stanowić pomoc w tym zakresie.