Dołącz do czytelników
Brak wyników

13 zadań do przeprowadzenia przed wdrożeniem RODO, aby uniknąć odpowiedzialności finansowej

Artykuły z czasopisma | 11 czerwca 2018 | NR 92
216

Unijne przepisy wprowadzają zmiany w zasadach przetwarzania danych osobowych. Sprawdź przed 25 maja, czy wprowadziłeś wszystkie zmiany.

Od 25 maja 2018 r. zasady przetwarzania danych osobowych w placówkach oświatowych, również prowadzonych przez podmioty niesamorządowe, będą ustalane na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO). RODO będzie uzupełniała nowa ustawa o ochronie danych osobowych. Reguluje ona jednak zupełnie inne zagadnienia niż obecnie.

Poniżej zamieszczono minimalny wykaz zadań, które muszą zostać podjęte przed 25 maja, ale również czynności do wykonania już po tym terminie.
 

Zadanie  
    
 
Przepis RODO   Praktyczne uwagi do zmian
 
Przed 25 maja 2018 r.    
1. Opracowanie polityki ochrony danych lub dostosowanie funkcjonującej dokumentacji  Art. 5,
art. 32 RODO  

Warto pomyśleć o przygotowaniu dokumentacji, która będzie choćby w prosty sposób opisywać procedury postępowania z danymi osobowymi, jakie zachodzą w jednostce. Nie musi być to żaden formalny dokument. RODO nie wymaga już bezwzględnie posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. 
Podczas tworzenia takiej dokumentacji kluczowe jest, by zastanowić się nad środkami ochrony danych. Te środki mają być takie, by zapewnić bezpieczeństwo danym (art. 32 RODO).
Chodzi o to, by dane nie wyciekły, by nie uzyskał do nich dostęp nikt nieuprawniony, 
by nikt ich nie skasował, zmodyfikował itp. Być może stosowane dotychczas zabezpieczenia techniczne i organizacyjne wystarczą. Być może warto rozważyć wdrożenie dodatkowych środków, które poprawią bezpieczeństwo ochrony danych. Może jakieś informacje w tych dokumentach nie odpowiadają rzeczywistości, należy je poprawić. Jeżeli nie masz polityki bezpieczeństwa i instrukcji, to warto, byś przygotował choćby jeden dokument opisujący postępowanie z danymi osobowymi w jednostce. W takim dokumencie powinny znaleźć się wszystkie istotne informacje dotyczące obiegu danych osobowych w placówce. Zanim przygotujesz dokumentację, wdróż odpowiednie procedury i środki ochrony danych osobowych, a dopiero potem je opisz. Chodzi o to, by dokumentacja odpowiadała rzeczywistości, a nie była tylko kolejnym niechcianym dokumentem.

Nowości do uwzględnienia w polityce:

  • informacje na temat administratora danych, inspektora ochrony danych osobowych (jeżeli został powołany), 
  • zapisy o ewidencjonowaniu, zgłaszaniu, komunikowaniu incydentów w ochronie danych (lub oddzielna procedura),
  • zapisy o prowadzeniu analizy ryzyka (lub oddzielna procedura),
  • przygotowanie wzoru rejestru czynności przetwarzania danych
2. Opracowanie 
polityki zarządzania 
naruszeniami i dokumentacji 
naruszeń z uwzględnieniem wzorów zawiadomień o naruszeniu dla podmiotu 
danych
Art. 33 i 34 RODO, motyw 85 oraz od 87 do 88 preambuły RODO

Administrator będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru – Prezesa UODO. Będzie też musiał poinformować daną osobę o naruszeniu jej danych (art. 33 RODO). Pojęcie „naruszenie ochrony danych osobowych” zasługuje na szczególną uwagę w związku z tym, że zostało zdefiniowane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego 
z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych 
lub w inny sposób przetwarzanych. 

Nie trzeba zgłaszać naruszeń, jeśli dyrektor (IOD) oceni, że jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

Należy wypracować zasady i sposób:

  • oceny i kwalifikowania stwierdzonych naruszeń ochrony danych osobowych jako naruszeń, które z dużym prawdopodobieństwem mogą skutkować ryzykiem naruszenia praw i wolności osób fizycznych,
  • zgłaszania naruszeń ochrony danych osobowych Prezesowi UODO,
  • prowadzenia rejestru naruszeń
3. Opracowanie nowych klauzul informacyjnych Art. 13 i 14 RODO, 
motyw od 60 do 62 
preambuły
RODO

RODO wprowadza rozszerzony obowiązek informacyjny. Warto porównać art. 13 i 14 RODO i art. 24 i 25 obecnej ustawy o ochronie danych osobowych. RODO rozróżnia dwa rodzaje obowiązku informacyjnego – kiedy administrator danych zbiera je:

  • bezpośrednio od osoby,
  • w sposób pośredni (od innych podmiotów). 

Jedyne wskazówki, jakich udziela ustawa, dotyczą momentu spełnienia obowiązku informacyjnego: odpowiednio w momencie zbierania danych, po utrwaleniu zebranych danych. Ustawa o ochronie danych osobowych nie wskazuje na formę spełnienia obowiązku informacyjnego. Ważne jest, aby osoba, która przekazuje swoje dane osobowe, miała możliwość zapoznania się z treścią informacji. Po stronie administratora danych leży natomiast obowiązek skutecznego jej poinformowania. W związku z tym obowiązku informacyjnego można dopełnić:

  • poprzez ustne przekazanie informacji (ale tutaj przedszkole nie może udowodnić, 
  • że taki obowiązek spełniła),
  • w jakimkolwiek formularzu, za pomocą których zbierane są dane osobowe.

Istnieje wyjątek od konieczności dopełnienia obowiązku informacyjnego, który wskazuje, że gdy osoba, której dane dotyczą, posiada już informacje, które powinny być jej przekazane, wtedy nie trzeba spełniać obowiązku informacyjnego. Zatem z obowiązku informacyjnego całkowicie są zwolnieni ci administratorzy danych, których osoby upoważnione wiedzą, kim jest administrator (szkoła, przedszkole) i w jakim celu przetwarza ich dane

4. Opracowanie
wzorcowych zgód na 
przetwarzanie
danych
Art. 7 RODO, 
motyw 32, 33, 42, 43, 58, 171 
preambuły RODO

Należy zweryfikować treść zgód obecnie stosowanych i dostosować do wymagań art. 7 RODO. RODO nie wprowadza rewolucyjnych zmian w kwestii zgody. Zgoda może mieć formę nie tylko oświadczenia, ale również wyraźnego działania potwierdzającego (np. udział w konkursie). Podano przykłady form wyrażenia zgody (pisemne, elektroniczne lub ustne oświadczenie). RODO wyjaśnia, jaki minimalny zakres informacji o procesie przetwarzania danych należy przekazać osobie wyrażającej zgodę, aby była ona świadoma: tożsamość administratora i zamierzone cele przetwarzania. Możliwe będzie zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach (np. na przetwarzanie danych przy rekrutacji i ponowne wykorzystanie danych przy ewentualnym naborze uzupełniającym w przyszłości). 

Najważniejsze zmiany polegają przede wszystkim na potwierdzeniu w treści 
RODO warunków wyrażenia zgody (art. 7 RODO). 

I tak, żeby przetwarzanie danych na podstawie zgody było legalne, należy zapewnić możliwość wycofania zgody w ławy sposób i w dowolnym momencie – jeśli administrator planuje uzyskiwać zgodę, powinien już na tym wstępnym etapie przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak będzie można tę zgodę odwołać (gdzie rodzic musi się zgłosić, jaki dokument wypełnić), dobrowolność wyrażenia zgody – chodzi o to, żeby nie uzależniać podjęcia pewnych działań od wyrażenia zgody (np. udział w konkursie uzależniony od wyrażenia zgody na przetwarzanie danych przez podmiot fundujący nagrodę w konkursie), aby osoba wyrażająca zgodę rozumiała istotę zgody, jej cel i skutki, aby miała pełne rozeznanie, przez kogo konkretnie i w jakim celu jej dane będą przetwarzane, a także możliwość udowodnienia uzyskania zgody – jeśli administrator nie jest w stanie tego wykazać, nie dysponuje podstawą prawną umożliwiającą mu przetwarzanie danych osobowych.

Przykład:
Wyrażam zgodę na przetwarzanie moich danych osobowych (danych mojego dziecka) podanych w ......................................., tj. ............................................ przez  w celach  ......................................................... Zgodę wyrażam dobrowolnie. Wiem, że w każdej chwili będę mógł odwołać zgodę przez ...................................................................... (należy wskazać, w jaki sposób można zgodę odwołać). 

Jednostka nie musi pozyskiwać nowych zgód po 25 maja na wykorzystanie danych uczniów, nauczycieli, pracowników, rodziców, jeżeli zebrane zgody odpowiadają warunkom RODO. Zazwyczaj brak możliwości kontynuowania przetwarzania w oparciu o dotychczasowe zgody będzie wynikał przede wszystkim z niewyrażania zgody w sposób świadomy (np. oświadczenie „Wyrażam zgodę na przetwarz...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy