Jak się przygotować do RODO?
W dyskusji nad szkolnictwem wyższym zapominamy często, że uczelnie to również organizacje, które muszą doskonalić swoje procesy. Postrzegamy uczelnie jako jednostki realizujące trzy misje, lecz w naszych rozważaniach często pomijamy podstawowe obowiązki, takie jak na przykład podatkowe rozliczenie uczelni. Jak udostępniać informacje publiczne: czy protokoły z senatu powinny być dostępne na stronach internetowych, czy nie? Jak obsługiwać studenta zagranicznego? Rosnący zakres obowiązków sprawozdawczych, zmieniające się otoczenie prawne działania podmiotów wykonujących zadania publiczne sprawiają, że podobne pytania spędzają sen z powiek kanclerzom oraz rektorom.
Fundacja na rzecz Jakości Kształcenia (FJK), działająca przy Konferencji Rektorów Akademickich Szkół Polskich (KRASP), właśnie w tym obszarze będzie wspierać uczelnie.
26 lutego FJK zorganizowała szkolenie dotyczące RODO, a więc rozporządzenia Parlamentu Europejskiego i Rady UE z 26 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Do jego przepisów uczelnie muszą się dostosować do 25 maja tego roku.
Szkolenie było podzielone na sześć głównych bloków: (1) Zagadnienia wprowadzające, w tym nowe definicje i podstawy prawne, (2) Nowe ujęcie obowiązków podmiotów przetwarzających dane osobowe, (3) Uprawnienia osób, których dane dotyczą, (4) Sankcje za nieprzestrzeganie rozporządzenia, (5) Wytyczne Working Party 29, (6) Doświadczenia praktyczne we wdrażaniu RODO.
Tematyka organizowanego szkolenia koncentrowała się przede wszystkim na procesach związanych z obsługą studenta, choć również istotne były kwestie związane z pracownikami i partnerami badawczymi.
Niepokojące jest to, że zgodnie z samym RODO organ nadzoru, którym w Polsce będzie prezes Urzędu Ochrony Danych Osobowych, będzie mógł zastosować grzywnę względem administratorów (np. uczelni) lub podmiotów przetwarzających (np. dostawców usług przetwarzania danych) aż w 27 sytuacjach wskazanych w rozporządzeniu (Art. 83 ust. 4). Grzywnie administracyjnej w wysokości do 20 milionów euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlegają następujące sytuacje: naruszenie przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody; naruszenie przepisów dotyczących praw osób, których dane dotyczą; naruszenie przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej; naruszenie przepisów dotyczących obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX rozporządzenia; nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu do danych.
Prowadzący szkolenie mec. Marcin Lewoszewski wskazał na zmiany, które są obecnie projektowane przez polskiego ustawodawcę ze względu na RODO. Zgodnie z dostępnym projektem ustawy o ochronie danych osobowych, która ma być w pewnym zakresie uzupełnieniem RODO, ustawodawca postanowił, że uczelnie publiczne oraz instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych będą miały obowiązek wyznaczenia inspektora ochrony danych, co stanowić może dodatkowe obciążenie dla uczelni. Z drugiej jednak strony na uczelnie publiczne oraz na instytuty badawcze prezes urzędu może nałożyć w drodze decyzji administracyjne kary pieniężne w wysokości do 100 tys. zł, a więc znacząco obniżone wobec tych, które mogą być nakładane na podmioty z sektora prywatnego. W przypadku uczelni publicznych i instytutów badawczych, w stosunku do których prezes urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają one do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej Biuletynu Informacji Publicznej informację o działaniach podjętych w celu wykonania decyzji.
FJK zamierza teraz, w dialogu z KRASP i zrzeszonymi w niej uczelniami, podjąć działania mające na celu dostarczanie uczelniom wiedzy i modelowych rozwiązań dotyczących poszczególnych procesów. Planujemy podjęcie dyskusji z GIODO (a później z prezesem Urzędu Ochrony Danych Osobowych) mającej na celu przygotowanie kodeksu postępowania w obszarze RODO dla uczelni, także we współpracy z inspektorami ochrony danych pracującymi w sektorze szkolnictwa wyższego. Następnie będziemy się starali zagospodarowywać kolejne procesy, tak aby mogły wesprzeć uczelnie w profesjonalizacji swojej działalności operacyjnej. Serdecznie zapraszamy do współpracy: biuro@fjk.org.pl.
Komentarze
Tylko artykuły z ostatnich 12 miesięcy mogą być komentowane.