Jak wdrożyć nowe przepisy - procedury RODO w Publicznych Szkołach Podstawowych.

W pierwszej kolejności warto dokonać przeglądu, w jaki sposób i jakie dane osobowe są przetwarzane w danej placówce, a także jaką treść zawiera aktualnie stosowania dokumentacja w tym zakresie, co ułatwi dostosowanie się do zmian i np. tylko uzupełnienie (a nie tworzenie od podstaw) dokumentacji określającej sposoby postępowania z danymi osobowymi. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L z 2016 r., nr 119, poz. 1) wymaga zastosowania się co najmniej do poniższych punktów. 1. Wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych było zgodne z przepisami – np. przez wprowadzenie polityk ochrony danych. Nowe przepisy w tym zakresie nie zobowiązują do opracowania konkretnej dokumentacji, ani nie dają wytycznych co do ich treści, więc można posługiwać się dotychczasową dokumentacją, którą każdy administrator powinien mieć opracowaną na piśmie aktualnie pod nazwą Polityka bezpieczeństwa (opisuje się w niej sposób przetwarzania danych przez konkretnego administratora danych osobowych), ewentualnie należy rozważyć potrzebę jej uzupełnienia lub modyfikacji. 2. Stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych – np. minimalizacja przetwarzania danych osobowych (dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), nadanie przetwarzaniu niezbędnych zabezpieczeń, które powinny zostać rozważone i dobrane jeszcze przed rozpoczęciem przetwarzania danych, udzielenie dostępu do danych osobowych i ich przetwarzanie wyłącznie przez osoby upoważnione przez dyrektora i wykonujące operacje na jego polecenie, ustalenie terminów usuwania lub okresowego przeglądu danych osobowych – w tym zakresie można posługiwać się aktualnie obowiązującą instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, również opracowywaną indywidualnie przez każdego administratora danych osobowych w zależności od jego sytuacji. 3. Gdy placówka przetwarza szczególne kategorie danych osobowych, w tym dotyczące zdrowia – będzie także miała obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych w formie pisemnej, w tym elektronicznej - w którym m.in. należy zamieścić cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; jeżeli jest to możliwe - planowane terminy usunięcia poszczególnych kategorii danych oraz zastosowane środki techniczne i organizacyjne stosowane w celu ochrony danych. Rejestr może mieć formę tabeli z tak nazwanymi rubrykami.