Rejestr czynności przetwarzania RODO to dokument wymagany przez RODO (art. 30) zawierający wykaz wszystkich operacji przetwarzania danych osobowych. Stanowi kluczowy dokument w systemie ochrony danych osobowych, szczególnie istotny dla dyrektorów przedszkoli niepublicznych.
Czy dyrektor przedszkola może odmówić jego udostępnienia?
Kwestia udostępniania tego dokumentu na podstawie wniosku opartego na ustawie o dostępie do informacji publicznej budzi wiele wątpliwości prawnych. Rozwiązanie tego problemu wymaga analizy orzecznictwa sądów administracyjnych oraz przepisów RODO.
1. Czy można udostępnić rejestr czynności przetwarzania RODO?
Odpowiedź na to pytanie przynosi wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi z dnia 12 lutego 2019 r. (sygn. akt II SAB/Łd 181/18).
Sąd określił w nim status prawny rejestru czynności przetwarzania i wskazał na następujące kluczowe aspekty:
- Cel prowadzenia rejestru – służy on wyłącznie celom wewnętrznym administratora
- Zakres informacji – rejestr zawiera szczegółowe dane o procesach przetwarzania danych osobowych
Wewnętrzny charakter – dokument ten ma charakter organizacyjno-techniczny
Opierając się na tym sąd doszedł do wniosku, że rejestry czynności przetwarzania oraz rejestry kategorii przetwarzania nie stanowią informacji publicznej w rozumieniu ustawy o dostępie do informacji publicznej. W konsekwencji nie podlegają udostępnienie rejestru czynności RODO nie jest obowiązkiem administratora.
2. Czy można udostępnić Politykę bezpieczeństwa danych osobowych RODO?
Podobne stanowisko orzecznictwo zajmuje w odniesieniu do polityki bezpieczeństwa danych osobowych RODO. Organ do spraw ochrony danych osobowych (GIODO i PUODO) wielokrotnie podkreślał aspekt poufności informacji zawartych w Polityce ochrony danych.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 8 grudnia 2005 r. (sygn. akt II SA/WA 1539/05) potwierdził, że polityka bezpieczeństwa nie powinna być udostępniana publicznie argumentując to następująco:
(…) uzasadnionym jest przyjęcie, iż polityka bezpieczeństwa zawiera bardzo istotne informacje służące ochronie danych osobowych i minimalizujące zagrożenia oraz zapewniające poufność, integralność i rozliczalność przetwarzanych danych.
(…) elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu, zgodnie z art. 5 ust. 1 ustawy o dostępie do informacji publicznej.
3. Podstawy prawne ograniczenia dostępu do informacji
W ustawie z dnia 6 września 2001 r. o dostępnie do informacji publiczej podano podstawy prawne ograniczenia prawa do informacji publicznej, które mogą mieć zastosowanie do dokumentach ochrony danych:
Art. 5. [Ograniczenie prawa do informacji publicznej]
- Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych.
- Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. (…).
4. Zagrożenia wynikające z udostępnienia
Udostępnianie dokumentów zawierających informacje o zabezpieczeniach danych osobowych mogłoby:
Osłabiać skuteczność stosowanych środków bezpieczeństwa
Zagrażać właściwej ochronie danych osobowych
Narażać na ryzyko naruszenia bezpieczeństwa danych
5. Praktyczne konsekwencje dla dyrektorów przedszkoli niepublicznych
Dyrektorzy przedszkoli niepublicznych jako odpowiedzialni za ochronę danych osobowych i realizacje obowiązków wynikających z RODO mają za zadanie:
- Prowadzenie rejestru czynności przetwarzania zgodnie z art. 30 RODO
- Zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych
- Wdrożenie polityki bezpieczeństwa dostosowanej do specyfiki placówk
Dyrektorzy powinni odmówić udostępnienia:
- Rejestru czynności przetwarzania
- Polityki bezpieczeństwa danych osobowych
- Innych dokumentów zawierających informacje o zabezpieczeniach technicznych i organizacyjnych
6. Najczęściej zadawane pytania (FAQ)
- Czy można udostępnić rejestr czynności przetwarzania?
Nie, naruszało by to bowiem bezpieczeństwo danych.
- Czy rejestr czynności przetwarzania jest informacją publiczną?
Nie, zgodnie z wyrokiem WSA w Łodzi z 2019 r. rejestr czynności przetwarzania nie stanowi informacji publicznej i nie podlega udostępnieniu na podstawie ustawy o dostępie do informacji publicznej.
- Czy można żądać udostępnienia polityki bezpieczeństwa danych?
Nie, polityka bezpieczeństwa zawiera informacje niejawne dotyczące zabezpieczeń danych osobowych, których udostępnienie mogłoby zagrozić bezpieczeństwu przetwarzania.
- Na jakiej podstawie można odmówić udostępnienia tych dokumentów?
Podstawą odmowy jest art. 5 ust. 1 ustawy o dostępie do informacji publicznej, który przewiduje ograniczenia w dostępie do informacji niejawnych.
- Czy istnieją wyjątki od tej zasady?
Orzecznictwo nie przewiduje wyjątków – dokumenty te mają charakter wewnętrzny i służą celom organizacyjno-technicznym administratora danych.
- Co grozi za nieudostępnienie tych informacji?
Nic nie grozi – odmowa udostępnienia rejestru czynności przetwarzania i polityki bezpieczeństwa jest zgodna z prawem i potwierdzona orzecznictwem sądów administracyjnych.
- Czy organ nadzorczy może żądać wglądu do tych dokumentów?
Tak, Prezes Urzędu Ochrony Danych Osobowych ma prawo do kontroli i wglądu w dokumentację związaną z przetwarzaniem danych osobowych w ramach swoich uprawnień nadzorczych.
7. Podsumowanie dla dyrektorów przedszkoli niepublicznych
Dyrektorzy przedszkoli niepublicznych mogą z pełną pewnością prawną odmówić udostępnienia rejestru czynności przetwarzania oraz polityki bezpieczeństwa danych osobowych. Dokumenty te mają charakter wewnętrzny i służą celom organizacyjno-technicznym, a ich udostępnienie mogłoby zagrozić bezpieczeństwu przetwarzania danych osobowych dzieci i rodziców.
W tych i innych sprawach z zakresu ochrony danych, np. weryfikacji dokumentacji RODO możesz skonsultować się z nasza Kancelarią w Krakowie i Nowym Targu.
Zapraszamy na bezpłatną pierwszą konsultację.
Dane kontaktowe znajdują się tutaj.
8. Potrzebujesz więcej informacji dotyczących BIP i ochrony danych?
Jeżeli interesują Cię porady prawne związane z:
- BIP
- ochroną danych
- prawem oświatowym
to odsyłamy do innych naszych artykułów w dziale:
Aktualności i porady, FAQ
Oto niektóre tytuły:
-
Jak założyć BIP dla niepublicznego przedszkola? Praktyczny przewodnik krok po kroku 2025
- Zaniżona dotacja oświatowa dla przedszkola niepublicznego. Odszkodowanie w 2025 r.
- Rozliczenie dotacji oświatowej dla przedszkoli niepublicznych – obowiązki dokumentacyjne i kontrola wydatków, 2025
- Jak zgłosić niezgodność statutu szkoły z prawem? Poradnik dla rodziców
- Dokumentowanie przemocy wobec dziecka – kiedy można robić zdjęcia w celach dowodowych?