Czy przedszkole niepubliczne musi zgłosić zbiór danych do GIODO? Jeżeli tak to w jaki sposób trzeba to zrobić? Jakie obowiązki, co powinien zrobić dyrektor, jeżeli chodzi o przechowywanie i przetwarzanie danych osobowych? Jakie dokumenty powinne być w tym zakresie sporządzone?

Na podstawie art. 40 i 43 ust. 1a ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016r. poz.922) dyrektor placówki, który powołał administratora bezpieczeństwa informacji (ABI), jest zwolniony z obowiązku zgłaszania zbiorów danych osobowych GIODO. Zadaniem ABI jest bowiem prowadzenie wewnętrznego rejestru zbiorów danych osobowych w placówce. W przypadku, gdy dyrektor nie ustanowił ABI, dyrektor placówki jako administrator danych osobowych, jest zobowiązany do zgłoszenia GIODO zbiorów danych osobowych innych, niż wymienione w art. 43 ust. 1 ustawy.

W placówkach, w których nie powołano ABI, w szczególności zgłoszeniu podlegają zbiory danych osobowych:

1) kandydatów na uczniów i ich rodziców (ustawa nie zwalnia z obowiązku rejestracji danych osobowych zgromadzonych w związku z prowadzeniem rekrutacji, dotyczących zarówno kandydatów na uczniów, jak i rodziców niepełnoletnich kandydatów, którzy nie zostali przyjęci),

2) rodziców zebrane w celach innych niż edukacyjne, np. rejestr upoważnień do odbioru dziecka z przedszkola,

3) podmiotów zewnętrznych do innych celów niż wystawienie faktury lub rachunku, np. podmiotów oferujących usługi w zakresie zajęć dodatkowych.
Placówka może także prowadzić inne zbiory danych osobowych, zależnie od jej specyfiki i potrzeb, nie jest więc możliwe ich wyczerpujące wyliczenie.

Dyrektor placówki nie ma obowiązku zgłoszenia GIODO zbiorów „zwykłych” danych osobowych, które są przetwarzane w sposób tradycyjny czyli papierowy, np. ewidencja korespondencji ( zwana też rejestrem poczty przychodzącej i wychodzącej, rejestrem korespondencji lub księgą korespondencji). Jeżeli natomiast administrator danych przetwarza „wykłe” dane osobowe z wykorzystaniem systemu informatycznego i nie powoła ABI, wówczas musi zgłosić zbiór danych osobowych GIODO.

Dyrektor placówki jest obowiązany zgłosić GIODO zbiór danych szczególnie chronionych (zwanych także danymi wrażliwymi lub sensytywnymi). Przetwarzanie danych wrażliwych jest możliwe dopiero po zarejestrowaniu zbioru przez GIODO. Dane szczególnie chronione wyliczone są w art.27 ust.1. ustawy.

Zgłoszenia dokonuje się przez wypełniony formularz, którego wzór opublikowany został w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008r. Nr 229, poz.1536).Zgłoszeniu podlega również każda zmiana informacji wcześniej zgłoszonych. W przypadku, gdy zmieniają się warunki i zasady prowadzenia zbioru, to taką zmianę należy zgłosić GIODO. Zgłoszenie zbioru danych do rejestracji może być dokonane poprzez przesłanie formularza zgłoszenia za pośrednictwem poczty, osobiście, jak również przy wykorzystaniu elektronicznej platformy komunikacji z Generalnym Inspektorem: e-giodo, dostępnej na stronie internetowej GIODO.

Do podstawowych obowiązków administratora danych osobowych w zakresie przetwarzania i przechowywania danych, poza zgłaszaniem zbiorów do GIODO, należy w szczególności:

1) stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii objętych ochroną ( inną dla zbiorów danych zwykłych i zbiorów danych wrażliwych), w szczególności powinien zabezpieczyć dane np. przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną;

2) posiadania polityki bezpieczeństwa;

3) posiadania instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (jeżeli dane są przetwarzane w systemie informatycznym);

4) kontrolowanie przestrzegania przez wszystkie osoby przetwarzające dane osobowe w placówce zasad wymienionych w powyższych dokumentach w codziennym funkcjonowaniu;

5) aktualizowanie i dostosowywanie powyższych dokumentów do potrzeb placówki w przypadku zmian dotyczących np. jej rozwoju, a spowodowanych poszerzeniem celów statutowych albo zmiany siedziby;

6) pisemnego nadania upoważnienia do przetwarzania danych osobowych;

7) prowadzenia ewidencji osób upoważnionych do przetwarzania danych;

8) zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,

9) zapoznawanie pracowników z przepisami ustawy o ochronie danych osobowych.