TAK! – Działalność OS i OSK jest nieodzownie związana z przetwarzaniem danych osobowych osób szkolonych i przechowywaniem ich nawet przez dekadę. To zaś już obecnie rodzi pewne obowiązki.  Trzeba mieć świadomość, że przetwarzaniem danych jest zarówno pobranie informacji z PKK, jak i wpisanie jazdy z danym kursantem do kalendarza, nie wspominając już o publikacji w mediach społecznościowych arkusza przebiegu egzaminu praktycznego.

Zasady dotyczące przetwarzania danych osobowych zmienią się 25 maja 2018 roku. Wejdzie wtedy w życie unijne ogólne rozporządzenie o ochronie danych osobowych – RODO (2016/679) oraz wciąż tworzona na jego podstawie nowa ustawa o ochronie danych osobowych.

W przypadku danych osób szkolonych administratorem danych jest przedsiębiorca prowadzący OS lub OSK – jako podmiot decydujący o przetwarzaniu danych.

NIE – wykorzystując SPS Admi do obsługi dokumentacji RODO masz gwarancję łatwego i pełnego spełnienia wymagań nowych przepisów.

Są to wszelkie czynności wykonywane na danych osobowych lub ich zestawieniach np. zbieranie, utrwalanie, organizowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, rozpowszechnianie dopasowywanie lub łączenie, usuwanie lub niszczenie.

Są to wszelkie informacje, które mogą choćby pośrednio umożliwiać zidentyfikowanie konkretnej osoby, a więc np. imię i nazwisko, numery identyfikacyjne (np. PESEL czy PKK), adres, numer telefonu czy e-mail, ale również np. numery rejestracyjne pojazdu.

Przetwarzanie danych jest dopuszczalne tylko wtedy, kiedy występuje przynajmniej jedna ze wskazanych w RODO podstaw np.: zgoda klienta lub przetwarzanie tylko w celu wypełnienia obowiązku prawnego. Z przetwarzaniem danych w ośrodkach w celu wykonania obowiązku prawnego mamy do czynienia choćby podczas przyjmowania klienta na szkolenie czy sporządzania obowiązkowych zgłoszeń o rozpoczęciu szkoleń. Ale wykorzystanie danych do innego celu wymaga już zgody – np. w przypadku zamieszczenia w portalu społecznościowym posta z informacją o jego zdanym egzaminie, lub wysłania e-maila z przesyłką marketingową.

Kontrole – według nowych przepisów nadzór nad przetwarzaniem danych sprawować będzie już nie GIODO, ale Urząd Ochrony Danych Osobowych, który będzie prowadził planowane kontrole z urzędu. Będą one prowadzone zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz. Każdy przedsiębiorca będzie stał przed realnym ryzykiem kontroli.

Organ ochrony danych może nałożyć karę w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu, jeśli administrator np.:

• narusza podstawowe zasady przetwarzania danych osobowych, w tym warunki udzielonej mu zgody na przetwarzanie danych;
• nie realizuje swoich obowiązków względem osób, których dane dotyczą;
• narusza zasady dotyczące transferów danych;
• nie przestrzega nakazów organu ochrony danych (np. tymczasowego ograniczenia przetwarzania).

Niższe kary (w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu) grożą m.in. w przypadku zbierania danych identyfikujących podmiot danych, mimo że nie wymagają tego cele administratora.

Wymierzając karę i decydując o jej wysokości, urząd nie będzie działał automatycznie. Weźmie pod uwagę takie czynniki jak: umyślność, stopień współpracy ze strony administratora, wagę naruszenia oraz sposób, w jaki dowiedział się o naruszeniu. Zgodnie z RODO powinien rozpatrywać sprawy indywidualnie i starać się, by jego rozstrzygnięcia były proporcjonalne, ale też odstraszające.

Chcąc spełnić wymagania RODO, OSK powinien dysponować następującymi dokumentami:

• polityka bezpieczeństwa przetwarzania danych osobowych,
• instrukcja dla systemów informatycznych,
• rejestr czynności przetwarzania danych,
• upoważnienia pracowników do przetwarzania danych,
• ewidencję upoważnień,
• systemową umowę powierzenia na przetwarzanie danych osobowych,
• zgody kursanta na przetwarzanie danych np. w celach marketingowych.

NIE – konieczne będzie natomiast prowadzenie „rejestru czynności przetwarzania danych” – zastąpi on wymagane obecnie zgłoszenia zbiorów do GIODO. Rejestr może być prowadzony w formie w formie elektronicznej. Ma obejmować szczegółowe dane administratora oraz informacje o przetwarzanych danych – jakie kategorie danych są przetwarzane, gdzie dane trafiają, jak są chronione, a nawet planowane terminy ich usunięcia.

Nie – powołanie inspektora danych osobowych – w przypadku działalności takiej jak OS czy OSK nie będzie obowiązkowe.  Warto pamiętać, że Inspektor przetwarzania danych osobowych nie przejmuje odpowiedzialności za dane od administratora, ale czuwa nad zgodnym z prawem przetwarzaniem danych, dysponując znajomością złożonych i nie zawsze jasnych przepisów. Inspektorem może być pracownik albo osoba z zewnątrz. Jeden inspektor może obsługiwać wielu przedsiębiorców.