W rozumieniu ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ponieważ nagranie umożliwia wskazanie sprawcy, należy uznać, że przetwarzamy w ramach monitoringu dane osobowe – dane te stanowią zbiór. Ze zbiorem danych nie będziemy mieli do czynienia, gdy stosowany jest monitoring wizyjny w czasie rzeczywistym bez dokonywania zapisu. Nie będzie bowiem wówczas możliwe odszukanie danych.
Przedszkole nie zawsze musi zgłosić monitoring do GIODO
Jeżeli przedszkole nie ma powołanego Administratora Bezpieczeństwa Informacji (ABI), to zbiór danych związany z przetwarzanie danych z monitoringu należy zarejestrować w GIODO. Inaczej będzie w przypadku gdy ABI został powołany. Sprawdź szczegóły.
ZAPAMIĘTAJ!
W przypadku gdy wykonywany jest zapis nagrań z monitoringu i dane osobowe są dostępne, np. według godziny i miejsca, mamy do czynienia ze zbiorem danych.
Nie zawsze trzeba zgłaszać monitoring
Zbiór danych przetwarzany w związku ze stosowaniem monitoringu wizyjnego traktujemy jak każdy inny zbiór danych. Stosujemy zatem te same zasady. A więc sprawdzamy, czy zachodzi któraś z podstaw zwolnienia z obowiązku rejestracji.
Jeśli powołano i zgłoszono ABI, a zbiór nie zawiera tzw. danych wrażliwych, zbiór danych nie podlega rejestracji.
Jeżeli nie został powołany ABI, to przedszkole musi zarejestrować monitoring w GIODO. We wniosku rejestracyjnym, jako podstawę prawną, należy wskazać, że przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
ZASTOSUJ!
Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru.
ABI musi spełniać trzy warunki
ABI może być osoba, która spełnia następujące warunki:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
- nie była karana za umyślne przestępstwo.
Najważniejsze jest, aby ABI posiadał odpowiednią wiedzę w zakresie ochrony danych osobowych, pozwalającą mu wywiązywać się z ustawowo nałożonych na niego zadań. Spełnianie przez daną osobę warunku posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych podlegać będzie ocenie i decyzji administratora danych osobowych, który powołuje ABI.
Formalnie nie ma przeszkód, by do pełnienia funkcji ABI powołać pracownika niepedagogicznego czy nauczyciela, pod warunkiem że posiadają wiedzę w zakresie ochrony danych osobowych. Została dopuszczona możliwość łączenia pełnienia funkcji ABI z wykonywaniem innych zadań w jednostce organizacyjnej. Warunkiem wykonywania przez ABI innych zadań jest, by te inne zadania (tj. niezwiązane z ochroną danych osobowych) nie naruszyły prawidłowego wykonywania zadań z zakresu ochrony danych osobowych.
Administrator danych osobowych może powołać ABI. Powołanie ABI stanowi uprawnienie, a nie obowiązek administratora danych osobowych. ABI powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej (w przedszkolu – dyrektorowi).
GIODO nie nakłada kar za niezgłoszenie zbioru
Za niedopełnienie obowiązku zgłoszenia zbioru przewidziana jest odpowiedzialność karna. Jeżeli podmiot zobowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku, o rodzaju kary decyduje sąd.
Nawet jeśli administrator danych osobowych miałby zostać ukarany karą grzywny, to może ona zostać nałożona wyłącznie przez sąd, który określa jej wysokość. GIODO może nałożyć grzywnę jedynie w przypadku niewykonania wydanej przez niego decyzji.
Podstawa prawna:
- art. 36a, art. 36b, art. 43 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922 ze zm.).
Zobacz także:
Tagi: oświata, bezpieczeństwo i opieka
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
