Okres przechowywania danych osobowych w szkole – jak go określić

Dyrektorzy szkół, placówek oświatowych będą prowadzić obowiązkowo wewnętrzny rejestr czynności przetwarzania danych (art. 30 ust. 1 RODO), jeżeli zatrudniają 250 lub więc osób. Większość szkół nie spełnia tego warunku. Jednak w ramach wyjątków od tej zasady, pomimo zatrudniania mniej niż 250 pracowników, rejestr należy prowadzić, gdy przetwarzanie:

• może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
• nie ma charakteru sporadycznego,
• obejmuje szczególne kategorie danych osobowych lub
• obejmuje dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

W szkołach i przedszkolach przetwarzanie danych nie jest sporadyczne, stąd obowiązek prowadzenia rejestru.

Elementy obowiązkowe rejestru to:

• informacje na temat administratora danych, inspektora ochrony danych,
• informacje na temat celu procesów przetwarzania danych osobowych, osób odpowiedzialnych za te procesy,
• informacje na temat kategorii danych osobowych i podmiotów danych objętych przetwarzaniem,
• jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
• jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr może również uzupełnić o inne elementy, w tym o informacje o okresie przechowywania danych. Przepis RODO zawiera tylko minimum informacji, które mogą pojawić się w takim rejestrze.

W rejestrze można zatem umieścić również przykładowo inne elementy:

• podstawa prawna przetwarzania danych, np. zgoda,
• informacja, gdzie znajduje się zgoda osoby, której dane dotyczą, jeżeli stanowi podstawę przetwarzania danych,
• informacje o sposobie zbierania danych – bezpośrednio od osoby, której dane dotyczą, czy nie,
• krótkie informacje o tym, czy spełniono obowiązek informacyjny i w jaki sposób,
• nazwa systemu służącego do przetwarzania danych,
• nazwisko osoby odpowiedzialnych za daną czynność itd.