Okres przechowywania danych osobowych w szkole – jak go określić

Dariusz Skrzyński

Autor: Dariusz Skrzyński

Dodano: 6 marca 2018
Okres przechowywania danych osobowych w szkole - jak go określić
Pytanie:  Ogólne rozporządzenie o ochronie danych określa, że jedną z informacji, jaką trzeba wskazać w rejestrze czynności przetwarzania, jest planowany termin usunięcia danych. Jak określić okres przechowywania danych osobowych w szkole lub przedszkolu? Czy zapis o takiej treści jest właściwy: „Dane będą przetwarzane przez okres edukacji dziecka, a następnie archiwizowane”?
Odpowiedź: 

Żaden przepis nie wskazuje, jak długo dane osobowe mają być przechowywane przez szkołę/przedszkole – powinno to wynikać z instrukcji kancelaryjnej. Zatem można odnieść się do jej zapisów. Tylko w przypadku danych osobowych kandydatów i dokumentacji postępowania rekrutacyjnego przepis prawa (art. 160 ustawy – Prawo oświatowe) wprost wskazuje, jak długo takie informacje i dokumenty należy przechowywać.

Dyrektorzy szkół, placówek oświatowych będą prowadzić obowiązkowo wewnętrzny rejestr czynności przetwarzania danych (art. 30 ust. 1 RODO), jeżeli zatrudniają 250 lub więc osób. Większość szkół nie spełnia tego warunku. Jednak w ramach wyjątków od tej zasady, pomimo zatrudniania mniej niż 250 pracowników, rejestr należy prowadzić, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych lub
  • obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

W szkołach i przedszkolach przetwarzanie danych nie jest sporadyczne, stąd obowiązek prowadzenia rejestru.

Elementy obowiązkowe rejestru to:

  • informacje na temat administratora danych, inspektora ochrony danych,
  • informacje na temat celu procesów przetwarzania danych osobowych, osób odpowiedzialnych za te procesy,
  • informacje na temat kategorii danych osobowych i podmiotów danych objętych przetwarzaniem,
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr może również uzupełnić o inne elementy, w tym o informacje o okresie przechowywania danych. Przepis RODO zawiera tylko minimum informacji, które mogą pojawić się w takim rejestrze.

W rejestrze można zatem umieścić również przykładowo inne elementy:

  • podstawa prawna przetwarzania danych, np. zgoda,
  • informacja, gdzie znajduje się zgoda osoby, której dane dotyczą, jeżeli stanowi podstawę przetwarzania danych,
  • informacje o sposobie zbierania danych – bezpośrednio od osoby, której dane dotyczą, czy nie,
  • krótkie informacje o tym, czy spełniono obowiązek informacyjny i w jaki sposób,
  • nazwa systemu służącego do przetwarzania danych,
  • nazwisko osoby odpowiedzialnych za daną czynność itd.
Dariusz Skrzyński

Autor: Dariusz Skrzyński

Prawnik, trener, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego, project manager projektów oświatowych realizowanych z funduszy UE, prowadzi szkolenia i konferencje dla kierowniczej kadry oświaty, rad pedagogicznych, nauczycieli oraz wychowawców

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x