Przepisy wskazane w rozporządzeniu o ochronie danych osobowych obowiązują podmioty, które przetwarzają dane osobowe w związku z działalnością prowadzoną w Unii Europejskiej, niezależnie od tego, czy samo przetwarzanie danych odbywa się w Unii. Dotyczy ono również wszystkich urzędów, jednostek publicznych oraz placówek oświatowych na terenie danego kraju.
RODO ustala dla tych podmiotów zasady, dotyczące przetwarzania danych osobowych, a na Administratorach i osobach upoważnionych do przetwarzania danych osobowych ciąży obowiązek ich realizacji, poprzez dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.
ZASADY OCHRONY DANYCH OSOBOWYCH.
Przetwarzane zgodnie z prawem.
Przetwarzanie należy realizować zgodnie z wszelkimi normami prawa, zarówno tymi już istniejącymi w momencie wejścia w życie Rozporządzenia UE, jak i z tymi, które dopiero później zostały wprowadzone do porządku prawnego.
Przetwarzanie jest dozwolone wyłącznie, jeżeli spełniony zostanie co najmniej jeden z warunków i wyłącznie w zakresie wynikającym z tego warunku:
Przykład. Zgoda na publikację wizerunku dziecka na stronie internetowej placówki.
Przykład. Monitorowanie epidemii.
Przykład. Zapobieganie skutkom klęski żywiołowej,
Przykład. Wprowadzenie monitoringu wizyjnego.
Przykład. Przeprowadzenie procesu rekrutacyjnego.
Każda z powyższych przesłanek może stanowić samodzielną podstawę prawną przetwarzania danych osobowych.
Należy pamiętać, że dane mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach. Nie mogą być przetwarzane niezgodnie z tymi celami. Ważne jest, aby zbierane dane były adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
W szkołach i placówkach oświatowych zazwyczaj przetwarzanie danych odbywa się na podstawie przepisów prawa. Są to między innymi:
Szkoła w ramach określonych tymi przepisami może przetwarzać dane osobowe uczniów, ich opiekunów prawnych (na przykład rodziców), nauczycieli, innych niż nauczyciele pracowników pedagogicznych, pracowników niebędących nauczycielami zatrudnionych w szkołach prowadzonych przez jednostki samorządu terytorialnego, osób niebędących nauczycielami – asystentów nauczycieli, wolontariuszy.
Podejście oparte na ryzyku.
Rodo wprowadza skuteczne procedury dotyczące tych operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Podejście oparte na ryzyku określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie to przetwarzanie może spowodować dla prywatności osób, których te dane dotyczą.
Rozliczalność.
Każdy Administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych służących ochronie danych osobowych. Rozporządzenie nie podaje jednak konkretnych przykładów najlepszych rozwiązań ani minimalnych standardów technicznych zabezpieczeń. Decyzja o tym jakie zabezpieczenia zostaną wprowadzone należy do Administratora i powinna mieć uzasadnienie w przeprowadzonej analizie ryzyka.
W szczególności Administrator powinien zadbać o zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów powszechnie obowiązującego prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Dane należy przechowywać w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Privacy by design i privacy by default.
Zasada uwzględniania ochrony danych w fazie projektowania i zasada domyślnej ochrony danych oznacza dbałość o ochronę prywatności przy prowadzeniu wszelkich projektów i działań.
Ochrona prywatności powinna być wbudowana w każdy nowy projekt. Oznacza to , że prywatność będzie chroniona nie przez dodatki do systemu lub nakładki na już istniejące rozwiązania, lecz będzie wbudowana w jego konstrukcję od samego początku – jeszcze w fazie pomysłu, jako składowa projektu.
Zasada domyślnej ochrony danych oznacza natomiast konieczność zapewnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu czy platformy internetowej. Zabezpieczenia mają być ustawione domyślnie, czyli bez konieczności jakiegokolwiek działania osób, których dane dotyczą – i to w kluczowym dla użytkownika momencie przyłączenia się do danego systemu lub wejścia na stronę internetową.
Poufność. Rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
Integralność. Rozumie się przez to właściwość zapewniającą, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
Dostępność. Gwarantuje, że osoby, które są upoważnione i którym informacje są potrzebne, mają do nich dostęp w odpowiednim miejscu i czasie.
Autentyczność. Właściwość zapewniająca, że tożsamość podmiotu lub procesu jest taka, jak deklarowana.
Rozliczalność działań na danych osobowych. Wszystkie istotne czynności wykonane przy przetwarzaniu danych osobowych, takie jak ich wprowadzanie lub edycja, muszą podlegać zarejestrowaniu tak, aby było możliwe zidentyfikowanie osoby, która daną czynność wykonała.