Ocena skutków dla ochrony danych

Ocena skutków dla ochrony danych (DPIA) dla procesu pozyskiwania informacji z Rejestru Sprawców Przestępstw na Tle Seksualnym

I. ETAP 1: Ustalenie stanu faktycznego

Art. 35 RODO ust. 1 RODO wskazuje, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków dla ochrony danych (DPIA). Prezes Urzędu Ochrony Danych Osobowych (UODO) w komunikacie z dnia 20 listopada 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (UODO-KOM-01/2018) wskazał rodzaje operacji przetwarzania wymagających oceny skutków. Administrator oceniając, czy dany rodzaj operacji będzie podlegał obowiązkowi przeprowadzenia DPIA, musi wziąć pod uwagę, wskazane na wstępie przesłanki. Jeżeli jakakolwiek z nich zostanie spełniona, dokonanie DPIA jest obligatoryjne. UODO podkreśla, że każdy z przykładów obszarów zastosowania ma charakter wyłącznie ilustracyjny, a w konsekwencji „Przykłady operacji/ zakresu danych/ okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania” nie mają charakteru wyczerpującego. W przypadku pozyskiwania danych z Krajowego Rejestru Karnego Rejestru Sprawców Przestępstw na Tle Seksualnym zachodzi wysokie prawdopodobieństwo zagrożenia dla praw i wolności osoby fizycznej.

II. ETAP: Opis przetwarzania

Tabela nr 1

Lp. | Dane do identyfikacji procesu przetwarzania | Opis

---|---|---

| Opis czynności przetwarzania | Pozyskiwanie przez Kierownika Działu Kadr danych z Krajowego Rejestru Karnego Rejestru Sprawców Przestępstw na Tle Seksualnym

| Cel czynności przetwarzania | Bezpieczeństwo małoletnich

| Podstawa prawna przetwarzania | Art. 6 ust. 1 lit. c RODO, Art. 9 ust. 2 lit. b RODO, Ustawa z dnia 6 kwietnia 1990 r. o Policji

| Administrator danych | Szkoła Podstawowa nr 1 w Warszawie

| Podmioty przetwarzające | Biuro Rachunkowe "Rachmistrz"

| Umowy powierzenia przetwarzania danych osobowych | Umowa powierzenia przetwarzania danych osobowych z dnia 15.01.2023 r.

| Systemy wspierające przetwarzanie | System Kadrowo-Płacowy "HRMaster"

| Planowane przepływy danych | Dane przekazywane będą do Biura Rachunkowego "Rachmistrz"

| Charakter przetwarzania | • W jaki sposób dane będą gromadzone, wykorzystywane, przechowywane i usuwane? Dane będą gromadzone poprzez wniosek do Krajowego Rejestru Karnego, wykorzystywane do weryfikacji kandydatów na stanowiska pracy, przechowywane w systemie HRMaster i usuwane po upływie okresu wskazanego w regulaminie retencji danych.• Jakie jest źródło danych? Krajowy Rejestr Karny.• Czy dane będą komuś udostępniane? Tak, Biuru Rachunkowemu "Rachmistrz".

| Zakres przetwarzania: | • Jakie dane są przetwarzane w związku z organizacją kolonii letnich dla małoletnich i zielonych szkół? Dane dotyczące skazania za przestępstwa na tle seksualnym.• Ile danych będzie gromadzonych i wykorzystywanych? Minimalny zakres danych niezbędny do weryfikacji.• Jak często? W przypadku każdego nowego kandydata na stanowisko mające kontakt z małoletnimi.• Ilu osób dotyczy przetwarzanie? Dotyczy kandydatów na stanowiska pracy.• Określenie retencji danych: 6 miesięcy od momentu zakończenia rekrutacji.• Określenie obszaru przetwarzania danych np. Polska.

| Kontekst przetwarzania: | • Kontekst wewnętrzny – obejmujący czynniki wewnętrzne Biura Rachunkowego "Rachmistrz", Szkoły Podstawowej nr 1 w Warszawie, jej organizacji.• Kontekst zewnętrzny – obejmujący czynniki zewnętrzne, w których działa Biuro Rachunkowe "Rachmistrz", Szkoła Podstawowa nr 1 w Warszawie.• Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym, w jakim funkcjonuje Szkoła Podstawowa nr 1 w Warszawie i przetwarzane są dane osobowe. Należy określić takie elementy jak: lokalne lub branżowe regulacje prawne na podstawie, których działa Biuro Rachunkowe "Rachmistrz", zakres terytorialny przetwarzania danych (Polska lub poza Polską), inwentaryzacja aktywów dla dokładności oraz skuteczności procesu szacowania ryzyka.

III. Opis procesu konsultacji wewnętrznych i zewnętrznych

Tabela nr 2

Opinie wewnętrzne np.: Kierownik Działu Kadr, Dyrektor Szkoły, Radca Prawny, Specjalista ds. BHP

Opinia IOD - Po przeprowadzeniu analizy ryzyka, oraz sprawdzeniu aktualnych przepisów dotyczących pozyskiwania danych osobowych ze wskazanych rejestrów zalecono przeprowadzenie oceny skutków dla ochrony danych osobowych.

Kierownik Działu Kadr: sprawdzono i zaktualizowano środki zapewniające bezpieczeństwo danych przetwarzanych w systemach teleinformatycznych.

Opinie podmiotów zewnętrznych

Brak

III. Określenie niezbędności oraz proporcjonalności danych art. 35 ust. 7 lit b RODO

Tabela nr 3

Środki, których podjęcie jest planowane w celu zapewnienia przestrzegania RODO | Pytanie | Odpowiedź

---|---|---

Czy cele przetwarzania są konkretne, wyraźne i prawnie uzasadnione (art. 5 ust. 1 lit. b) RODO)? | Tak, określone przepisami prawa. |

Jaka jest podstawa prawna | Art. 6 ust. 1 lit. c RODO, Art. 9 ust. 2 lit. b RODO, Ustawa z dnia 6 kwietnia 1990 r. o Policji |

Czy Administrator zbiera dane wyłącznie w zakresie niezbędnym do określonego celu (minimalizacja danych) (art. 5 ust. 1 lit. c) RODO])? | Tak, zgodnie z wymogami ustawowymi. |

Czy dane są przechowywane wyłącznie przez czas niezbędny do ich przetwarzania (art. 5 ust. 1 lit. e) RODO]? | Tak, zgodnie z obowiązującymi przepisami Ustawy z dnia 6 kwietnia 1990 r. o Policji i regulaminem retencji danych Szkoły Podstawowej nr 1 w Warszawie. |

W jaki sposób Administrator weryfikuje prawidłowość danych i je uaktualnia (art. 5 ust. 1 lit. d) RODO?) | Kierownik Działu Kadr regularnie sprawdza aktualność danych. |

Czy Administrator weryfikuje podmiot przetwarzający w sposób zapewniający, że procesor będzie przetwarzał powierzone dane zgodnie z przepisami RODO? | Tak, zgodnie z zaleceniami Prezesa UODO. |

Czy dane będą przekazywane poza Polską, jeśli tak to, w jaki sposób dane zostaną zabezpieczone? | Nie, wykorzystywane serwery znajdują się na terenie Polski. |

Tabela nr 4

Środki przyczyniające się do zachowania praw osób, których dane dotyczą | Pytanie | Odpowiedź

---|--- | ---

Czy Administrator realizuje obowiązki informacyjne z art. 13 i 14 RODO? | Tak, zgodnie z RODO. |

Czy obowiązek informacyjny jest przekazywany w zwięzłej, przejrzystej łatwo dostępnej formie oraz napisany jest prostym językiem (art. 12 ust. 1 RODO])? | Tak, Administrator sporządza klauzule informacyjne zgodnie z zaleceniami IOD o przejrzystej i zrozumiałej formie. |

W jaki sposób osoba fizyczna może realizować prawo dostępu do danych osobowych (art. 15 ust. 1 RODO])? | Poprzez kontakt z Administratorem: pisząc na adres ul. Kwiatowa 1, 00-001 Warszawa lub poprzez [email protected]. |

Jakie środki podejmuje Administrator, aby zapewnić osobie fizycznej prawo realizacji uzyskania kopii danych (art. 15 ust. 3 RODO])? | Informacja na stronie internetowej szkola.pl, kontakt z IOD, wskazanie sposobów kontaktu w obowiązkach informacyjnych. |

W jaki sposób osoba fizyczna może sprostować swoje dane (art. 16 RODO])? | Kontaktując się z Szkołą Podstawową nr 1 w Warszawie lub IOD, kontakt wskazany jest na stronie szkola.pl i w obowiązkach informacyjnych. |

Czy osobie fizycznej przysługuje prawo do usunięcia danych (art. 17 RODO])? | Nie. Rejestry są prowadzone przez Ministerstwo Sprawiedliwości, nie ma możliwości usunięcia danych. |

W jaki sposób osoby fizyczne mogą wyegzekwować prawo do ograniczenia przetwarzania i prawo do sprzeciwu (art. 18 i art. 21 RODO])? | Kontaktując się z Szkołą Podstawową nr 1 w Warszawie lub IOD, kontakt wskazany jest na stronie szkola.pl i w obowiązkach informacyjnych. |

Czy Administrator informuje o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe (art. 19 RODO])? | Tak, w obowiązkach informacyjnych. |

Czy osobie fizycznej przysługuje prawo do przenoszenia danych (art. 20 RODO])? | Nie. |

VI. ETAP 6 Podsumowanie oceny skutków

Wnioski i akceptacja oceny skutków dla ochrony danych | Zagadnienie | Uwagi

---|---|---

Zatwierdzenie środków redukujących ryzyko | Jan Kowalski, Kierownik Działu Kadr, 20.03.2024 r., (podpis) | Zatwierdzone środki należy uwzględnić w procesie planowania przetwarzania danych osobowych oraz wskazać 20.03.2024 r. i Kierownik Działu Kadr odpowiedzialne.

Zatwierdzenie ryzyka szczątkowego | | W przypadku wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą i próby jego minimalizacji nie prowadzą do jego obniżenia - przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

Opinia inspektora ochrony danych, jeśli został wyznaczony | | IOD powinien doradzać w sprawie zgodności, środków z tabeli nr 6 oraz wyrazić opinię czy przetwarzanie jest możliwe.

Opinia IOD przyjęta lub odrzucona przez Szkołę Podstawową nr 1 w Warszawie | | Uzasadnienie decyzji o odrzuceniu opinii IOD.

Zapoznanie się z opiniami zewnętrznymi | | Jeżeli decyzja Szkoły Podstawowej nr 1 w Warszawie odbiega od poglądów Kierownika Działu Kadr ekspertów, należy ją uzasadnić.

Przeglądy oceny skutków dla ochrony danych | | IOD i Szkoła Podstawowa nr 1 w Warszawie powinni dokonywać przeglądu oceny skutków.