„Prowadzę w ramach jednoosobowej działalności gospodarczej niepubliczną poradnię psychologiczno-pedagogiczną. W związku z tym posiadam dane dzieci, które przyjmowane są do diagnozy/terapii/opiniowania. Dane te nie są przechowywane jako baza danych, ale występują na wnioskach o badanie w formie papierowej oraz występują w formie elektronicznej tylko na diagnozach i opiniach (zapisywane są tylko na dysku twardym komputera i ewentualnie na nośniku wymiennym typu pendrive, nie są przesyłane pocztą elektroniczną). W związku z wprowadzeniem RODO mam pytanie o moje obowiązki względem klientów i organów administracyjnych i oświatowych.”

Przepisy zawarte …

(…) w unijnym rozporządzeniu o ochronie danych zwanym potocznie RODO są adresowane do każdego podmiotu, który przetwarza dane osobowe osób fizycznych. Przykładowo przedsiębiorca prowadzący jednoosobową działalność gospodarczą, (w tym przypadku niepubliczną poradnię psychologiczno-pedagogiczną) przetwarza dane osobowe swoich klientów (tj. dzieci, które przyjmowane są do diagnozy/terapii/opiniowania). Przedsiębiorca taki musi przeprowadzić analizę ryzyka, właściwą dla prowadzonej działalności i na jej podstawie przygotować odpowiednie procedury oraz rozwiązanie technologiczne zabezpieczające bazy danych przed nieuprawnionym dostępem osób trzecich – art. 24 i 25 RODO.

Powinien również opracować politykę bezpieczeństwa informacji w swojej firmie oraz instrukcję zarządzania systemem informatycznym (odnośnie przechowywania dokumentacji w wersji elektronicznej). Czynności podlegające RODO to przetwarzanie danych osobowych polegające na zbieraniu, przechowywaniu, usuwaniu, opracowywaniu i udostępnianiu danych. Administratorem danych jest prowadzący jednoosobową działalność gospodarczą, który musi przekazywać klientom szczegółowe informacje o przetworzeniu ich danych osobowych i prosić o zgodę na ich wykorzystanie w kontekście korzystania z usług poradni.

Co więcej, administrator na wypadek kontroli powinien posiadać rejestr czynności przetwarzania, określający m.in. kategorie osób, których dane przetwarza, cele przetwarzania, kategorie odbiorców tych danych, planowane terminy usunięcia poszczególnych kategorii danych czy też ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – art. 30 RODO.

Konieczne jest również przygotowanie umów powierzenia przetwarzania danych z podmiotami, którym administrator przekazuje uzyskane dane, oraz upoważnień do przetwarzania danych osobowych.

Personel Administratora winien z kolei podpisać oświadczenia i zobowiązania do przestrzegania przepisów o ochronie danych osobowych oraz do zachowania w tajemnicy danych uzyskanych w ramach wykonywania obowiązków pracowniczych.

Bardzo istotny jest ponadto wzór zgłoszenia incydentu naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz wzór informowania o takim incydencie osoby, której dane mogły zostać w ten sposób naruszone – przepisy art. 33-35 RODO.

Administrator musi nadto ocenić, czy w jego przypadku istnieje konieczność wyznaczenia inspektora danych osobowych – art. 37 RODO.

Paweł Nowak – prawnik prawa pracy i prawa oświatowego

Podstawa prawna:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dn. 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.Urz. UE L 119/1.
2. Ustawa z dn. 10.05.2018 r. o ochronie danych osobowych – Dz.U. z 2018 r. poz. 1000.

   oprac. \m/ \mos/