Kodeks dla oświaty – wersja III

Kodeks dla oświaty – wersja III

Od listopada 2019 r. trwają publiczne konsultacje przedstawionego Kodeksu postępowania dla
oświaty. Udostępniamy wersję III, która uwzględnia większość Państwa uwag i sugestii.
Jednakże, chcielibyśmy się odnieść do następujących kwestii:

1. Przesłanki przetwarzania: art. 6.1.c czy 6.1.e
Nie po raz pierwszy podnosimy problem rozróżnienia prowadzenia przetwarzania danych osobowych przez jednostki oświatowe na podstawie art. 6.1.c oraz art. 6.1.e. RODO . Odnosiliśmy się już do tego przy okazji przetwarzania danych osobowych podczas organizacji i przeprowadzania konkursów szkolnych. Dla uporządkowania tego zagadnienia przyjęliśmy, że realizacja zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6.1.e RODO) będzie domeną organu prowadzącego, czyli w przeważającej większości, będzie to zadanie gmin, które realizując zadania wynikające z ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, mają zapewnić edukację na swoim terenie (w głównej mierze będzie tu chodziło o jej finansowanie). Jednostka oświatowa zaś, ma obowiązek realizowania zadań wynikających z art. 1 ustawy z dnia 14 grudnia 2016 r. – prawo oświatowe. Dokonując oceny należy zwrócić uwagę na cel, a nie na narzędzie realizacji wyszczególnionego zadania. I tu ponownie powołując się na przywołany już wcześniej przypadek konkursu międzyszkolnego, należy podkreślić, że szkoły nie przeprowadzają konkursów dla samego faktu ich przeprowadzania, ale są zobowiązane do ich organizacji w celu ściśle związanym z obowiązkami nałożonymi na jednostki oświatowe, zgodnie z art. 1 przywołanej ustawy – prawo oświatowe. Co warte podkreślenia to również fakt, że zadania organu prowadzącego oraz zadania placówki oświatowej zostały ściśle rozgraniczone na poziomie przepisów prawa. A zatem, aby Kodeks porządkował kwestie przesłanek przetwarzania danych osobowych, zdecydowano się przyjąć przesłankę wynikającą z art. 6.1.c RODO, dla przetwarzań wynikających z działalności statutowej placówek oświatowych. Na poziomie każdego z zaproponowanych w Kodeksie przetwarzań, podano również przepis prawa, z którego wynika obowiązek przetwarzania danych osobowych. Celem tworzenia Kodeksu jest doprecyzowanie i porządkowanie, a zatem przyjęcie takiego rozwiązania wydaje się być uzasadnione.

2. Monitorowanie
Z pojęciem monitorowania mamy do czynienia w dwóch przypadkach. Pierwszy z nich wynika z art. 39 RODO i nakłada on na inspektora ochrony danych obowiązek monitorowania przestrzegania przepisów prawa oraz wewnętrznych polityk administratora,dotyczących przetwarzania danych osobowych.  Drugi zaś, wynika z art. 40 RODO i dotyczy monitorowania wypełniania założeń Kodeksu postępowania przez akredytowany podmiot. W tym miejscu jednak należy podkreślić, że zgodnie z art. 41 ust. 6 RODO wymóg ten nie będzie dotyczył kodeksów stosowanych przez organy publiczne.Niemniej jednak, mechanizmy takie na poziomie kodeksu muszą być uwzględnione w każdym przypadku.  Na poziomie Kodeksu postępowania dla oświaty, mechanizmy monitorowania będą wynikały z zastosowanej metody przeprowadzania analizy ryzyka. Podczas jej dokonywania wprowadzone środki zabezpieczające dane osobowe oraz pozwalające na realizację praw podmiotów danych są wykazywane w formie deklaratywnej, zaś na poziomie monitorowania należy przedstawić dowody na ich zastosowanie. Jeżeli zakres analizy ryzyka będzie zawierał minimum tego co zostało przewidziane w Kodeksie, pozwoli to na wykazanie przetwarzania zgodnie z obowiązującym prawem.

  • Prev Post