Kim jest IOD w szkole?

W praktyce oznacza to, że inspektor ochrony danych (IOD):

• udziela dyrekcji i pracownikom porad dotyczących ochrony danych,
• pomaga w tworzeniu dokumentacji RODO,
• szkoli nauczycieli i pracowników,
• sprawdza, czy szkoła stosuje odpowiednie środki techniczne i organizacyjne (np. hasła, upoważnienia, procedury),
• współpracuje z UODO, jeśli dochodzi do naruszenia danych (np. wysłania wiadomości e-mail do niewłaściwego adresata).

Warto podkreślić, że IOD nie odpowiada za przetwarzanie danych w imieniu szkoły. Rolą inspektora jest doradzanie i kontrolowanie, czy szkoła wywiązuje się z tego obowiązku zgodnie z prawem.

To oznacza, że inspektor nie wydaje poleceń ani nie decyduje o sposobie działania szkoły, ale może zgłaszać uwagi i rekomendacje, a jego opinie powinny być przez dyrektora brane pod uwagę.

W dużych szkołach IOD jest często osobą z zewnątrz – specjalistą z kancelarii lub firmy doradczej. W mniejszych placówkach funkcję tę może pełnić pracownik organu prowadzącego (np. gminy, fundacji), o ile nie ma konfliktu interesów i posiada odpowiednie kompetencje.

Dobrze powołany i kompetentny inspektor ochrony danych to realne wsparcie dla szkoły – ktoś, kto pomaga uniknąć problemów z UODO, ale też zapewnia rodzicom i nauczycielom poczucie, że ich dane są w bezpiecznych rękach.

Czy szkoła ma obowiązek wyznaczyć IOD?

Tak, w zdecydowanej większości przypadków szkoła ma obowiązek wyznaczyć inspektora ochrony danych (IOD). Wynika to bezpośrednio z art. 37 ust. 1 RODO, który wymienia trzy sytuacje, w których powołanie inspektora jest obowiązkowe.

Pierwsza z nich dotyczy organów i podmiotów publicznych – a do tej kategorii należą wszystkie szkoły publiczne oraz przedszkola publiczne. Oznacza to, że każda taka jednostka musi mieć wyznaczonego IOD i zgłosić jego dane do Prezesa Urzędu Ochrony Danych Osobowych (UODO). To obowiązek bezdyskusyjny – niezależny od liczby uczniów, pracowników czy stopnia zaawansowania informatycznego placówki.

Szkoły niepubliczne a Inspektor Ochrony Danych

W przypadku szkół niepublicznych sytuacja jest nieco inna. Takie placówki nie są „podmiotami publicznymi” w rozumieniu przepisów, ale RODO nakłada obowiązek wyznaczenia IOD także wtedy, gdy:

• główne czynności administratora polegają na przetwarzaniu danych szczególnych kategorii (np. danych o zdrowiu uczniów, orzeczeń z poradni, informacji o niepełnosprawności),
• lub gdy dochodzi do regularnego i systematycznego monitorowania osób (np. poprzez systemy monitoringu wizyjnego).

Właśnie dlatego UODO w swoich interpretacjach i szkoleniach podkreśla, że również szkoły niepubliczne powinny wyznaczyć inspektora danych osobowych, bo zakres i charakter przetwarzania danych w nich jest taki sam, jak w szkołach publicznych.

Innymi słowy: nawet jeśli formalnie niepubliczna szkoła mogłaby próbować uznać, że obowiązek jej nie dotyczy, to w praktyce – przetwarzając dane uczniów na dużą skalę  spełnia kryteria z art. 37 ust. 1 lit. b-c RODO. Dlatego brak IOD może być traktowany jako poważny błąd z punktu widzenia bezpieczeństwa i zgodności z przepisami.

Kto może, a kto nie może pełnić funkcji IOD w szkole?

RODO nie wskazuje wprost, kim dokładnie ma być inspektor ochrony danych. Nie wymaga też żadnego konkretnego wykształcenia czy certyfikatu. Ustawodawca pozostawił tu dużą swobodę, określając jedynie, że osoba pełniąca tę funkcję powinna posiadać

„odpowiednią wiedzę fachową w dziedzinie ochrony danych osobowych i przepisów o ich przetwarzaniu” (art. 37 ust. 5 RODO).

Oznacza to, że inspektorem może być zarówno pracownik szkoły, jak i osoba z zewnątrz np. specjalista z kancelarii prawnej, firmy doradczej czy jednostki samorządowej.

Najważniejsze są dwa warunki:

1. kompetencje – czyli znajomość przepisów o ochronie danych i praktyki ich stosowania,
2. niezależność – inspektor nie może znajdować się w konflikcie interesów ani podlegać wpływom administratora przy wykonywaniu swoich zadań.

Właśnie ten drugi warunek ma szczególne znaczenie w szkołach.

Czy nauczyciel może być inspektorem danych?

Teoretycznie – tak. Przepisy RODO nie zabraniają, by nauczyciel został wyznaczony na IOD. Jednak w praktyce takie rozwiązanie bardzo często budzi wątpliwości.

Powód jest prosty: konflikt interesów.

Nauczyciel przetwarza dane uczniów na co dzień – prowadzi dziennik elektroniczny, wypełnia arkusze ocen, kontaktuje się z rodzicami, organizuje wycieczki czy dokumentuje postępy dzieci. Jeśli ten sam nauczyciel miałby jednocześnie nadzorować zgodność tych działań z RODO, oznaczałoby to, że… kontroluje samego siebie.

Z tego powodu UODO odradza łączenie funkcji nauczyciela i inspektora ochrony danych. Lepszym rozwiązaniem jest wyznaczenie IOD spoza grona pedagogicznego  np. z organu prowadzącego (gminy, fundacji) lub z zewnętrznej firmy specjalizującej się w ochronie danych osobowych.

Czy dyrektor szkoły może zostać IOD?

Nie – dyrektor szkoły nie może pełnić funkcji inspektora ochrony danych.

Powód jest oczywisty: to właśnie dyrektor, jako administrator danych, ponosi odpowiedzialność za całe przetwarzanie danych osobowych w szkole. Gdyby pełnił jednocześnie funkcję IOD, nadzorowałby samego siebie, co jest sprzeczne z zasadą niezależności inspektora.

Dyrektor może natomiast ściśle współpracować z inspektorem – przekazywać mu informacje o nowych działaniach szkoły (np. o wprowadzeniu monitoringu, zmianach w dokumentacji czy rekrutacji), ale nie może formalnie zajmować jego stanowiska.

W praktyce najbezpieczniejszym rozwiązaniem – i często stosowanym – jest powołanie jednego inspektora dla kilku szkół lub placówek prowadzonych przez ten sam organ. Takie rozwiązanie pozwala zachować niezależność, a jednocześnie zmniejsza koszty, bo nie każda szkoła musi zatrudniać osobnego specjalistę.

Jeden inspektor dla kilku szkół – czy to możliwe?

Tak, RODO dopuszcza możliwość wyznaczenia jednego inspektora ochrony danych dla kilku jednostek i w praktyce jest to bardzo częste rozwiązanie w oświacie. Oznacza to, że jeden IOD może obsługiwać np. cały zespół szkół, kilka przedszkoli lub różne placówki prowadzone przez tę samą gminę, fundację czy spółkę.

Co grozi szkole, która nie wyznaczy IOD?

Brak wyznaczenia inspektora ochrony danych (IOD) to jedno z częstszych naruszeń RODO w sektorze edukacji. Choć wiele szkół wciąż traktuje ten obowiązek jako „formalność”, w świetle przepisów jest to poważne naruszenie prawa, które może skutkować karami finansowymi i administracyjnymi.

Z czego wynika obowiązek i kara?

Podstawą prawną jest art. 37 ust. 1 RODO, który określa, kiedy administrator danych (czyli szkoła) ma obowiązek wyznaczyć inspektora ochrony danych.

Z kolei art. 83 ust. 4 lit. a RODO przewiduje sankcje za naruszenie tego obowiązku – czyli za niewyznaczenie IOD, niewłaściwe zapewnienie mu niezależności lub utrudnianie wykonywania zadań. Zgodnie z tym przepisem, za naruszenie obowiązków dotyczących IOD (art. 37-39 RODO) może zostać nałożona administracyjna kara pieniężna do 10 milionów euro lub do 2% całkowitego rocznego obrotu – w zależności od tego, która kwota jest wyższa.

Oczywiście w praktyce szkoły nie są dużymi przedsiębiorstwami, więc kary nakładane przez Prezesa UODO są proporcjonalne do ich statusu, budżetu i skali naruszenia.

Kary dla szkół publicznych

Dla jednostek sektora finansów publicznych, takich jak szkoły i przedszkola publiczne, obowiązuje limit wysokości kary. Na podstawie art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, Prezes UODO może nałożyć na podmiot publiczny (np. szkołę, urząd, samorząd):

„administracyjną karę pieniężną w wysokości do 100 000 zł.”

W praktyce oznacza to, że szkoła publiczna nie zapłaci kary wyższej niż 100 000 zł, nawet jeśli naruszenie byłoby poważne. Najczęściej stosowane kary w oświacie to kwoty od kilku do kilkudziesięciu tysięcy złotych, zależnie od okoliczności – np. braku IOD, braku zgłoszenia inspektora do UODO, czy też niedostatecznego nadzoru nad przetwarzaniem danych.

Kary dla szkół niepublicznych

Inaczej wygląda sytuacja w przypadku szkół i przedszkoli niepublicznych. Nie należą one do sektora finansów publicznych, więc nie korzystają z ograniczenia do 100 000 zł. Wobec nich UODO może stosować kary na zasadach ogólnych z art. 83 RODO – czyli do 10 milionów euro lub 2% obrotu.

W praktyce oczywiście takie kwoty nie są nakładane na szkoły, ale Prezes UODO może wymierzyć sankcję proporcjonalną do rozmiaru działalności. W przypadku małej placówki niepublicznej kara może wynieść np. 5 000–20 000 zł, ale dla dużych sieci szkół lub fundacji prowadzących wiele placówek kwoty te mogą być znacznie wyższe.

Ważne: oprócz kary pieniężnej, UODO może nałożyć na szkołę środki naprawcze, takie jak:

• nakaz niezwłocznego powołania inspektora,
• zobowiązanie do opracowania i wdrożenia polityki ochrony danych,
• ograniczenie lub zakaz przetwarzania danych do czasu usunięcia nieprawidłowości.

Co jeszcze ryzykuje szkoła bez IOD?

Szkoła, która nie powołała inspektora, naraża się nie tylko na kary finansowe. Brak IOD to również:

• brak wsparcia przy opracowaniu procedur i rejestrów,
• większe ryzyko błędów i incydentów (np. nieuprawnione ujawnienie danych uczniów, zdjęć lub dokumentacji medycznej),
• utrata wiarygodności wobec rodziców i organu nadzoru pedagogicznego.

W trakcie kontroli UODO pierwsze pytanie zawsze dotyczy inspektora ochrony danych – jego imienia, adresu e-mail, zakresu obowiązków i sposobu kontaktu. Brak tych informacji automatycznie budzi zastrzeżenia i może być podstawą do wszczęcia postępowania administracyjnego.

Jak uniknąć ryzyka? Rozwiązaniem jest outsourcing IOD

Zarówno szkoły publiczne, jak i niepubliczne coraz częściej decydują się na tzw. outsourcing IOD, czyli powierzenie funkcji inspektora zewnętrznemu podmiotowi specjalizującemu się w ochronie danych. Dzięki temu szkoła nie musi zatrudniać nowego pracownika, a jednocześnie ma pewność, że wszystkie obowiązki są realizowane profesjonalnie.

Takie kompleksowe wsparcie zapewnia m.in. nasza kancelaria – Kancelaria Prawa Gospodarczego i Oświatowego, która specjalizuje się w:

• pełnieniu funkcji IOD dla szkół publicznych i niepublicznych,
• prowadzeniu audytów RODO,
• opracowywaniu dokumentacji i polityk bezpieczeństwa oraz
• szkoleniu kadry pedagogicznej z ochrony danych osobowych.

Zapraszamy do kontaktu z naszymi ekspertami:

• telefonicznie: +48 533 940 018
• przez e-mail: [email protected]