Rola dyrektora jako reprezentującego szkołę pozostającą administratorem danych osobowych uczniów, rodziców, nauczycieli i pracowników została dookreślona nie tylko przepisami prawa oświatowego, ale też ogólnego rozporządzenia o ochronie danych (RODO). Konstrukcja jego przepisów powoduje, że trudno jest w sposób abstrakcyjny zakreślić szczegółową listę obowiązków ciążących na szkole, odrywając je od okoliczności, w których administrator przetwarza dane osobowe. Obowiązki te konkretyzują się już jednak w przypadku przeniesienia szkolnej dokumentacji do sfery cyfrowej.
Fragment artykułu z miesięcznika „Dyrektor Szkoły” 2021/9
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1) – dalej RODO – wprowadziło do europejskiego, a zatem i polskiego systemu prawnego swoiste novum, tzw. zasadę podejścia opartego na ryzyku.
Na gruncie poprzednio obowiązujących przepisów każdy administrator danych obowiązany był do stosowania ściśle określonych środków bezpieczeństwa wyraźnie wymienionych w rozporządzeniu wydanym na podstawie przepisów ustawy o ochronie danych osobowych. O katalogu stosowanych zabezpieczeń decydował więc de facto prawodawca, a nie osoby odpowiedzialne za bezpieczeństwo danych u konkretnego administratora.
Stosowane wówczas podejście, pomimo oczywistego ułatwienia administratorowi kwestii doboru środków bezpieczeństwa, czyniło ochronę danych osobowych pozorną. Wystarczy wspomnieć, że ostatnim aktem prawnym określającym katalog zabezpieczeń wymaganych do stosowania przez administratorów danych było rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych, które obowiązywało aż do 2018 r. W konsekwencji wymagane środki ochrony pozostawały nieadekwatne do ryzyk, z jakimi wiąże się – coraz przecież bardziej powszechne – przetwarzanie danych w sposób elektroniczny.