Dołącz do czytelników
Brak wyników

13 zadań do przeprowadzenia przed wdrożeniem RODO, aby uniknąć odpowiedzialności finansowej

Artykuły z czasopisma | 11 czerwca 2018 | NR 92
173

Unijne przepisy wprowadzają zmiany w zasadach przetwarzania danych osobowych. Sprawdź przed 25 maja, czy wprowadziłeś wszystkie zmiany.

Od 25 maja 2018 r. zasady przetwarzania danych osobowych w placówkach oświatowych, również prowadzonych przez podmioty niesamorządowe, będą ustalane na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO). RODO będzie uzupełniała nowa ustawa o ochronie danych osobowych. Reguluje ona jednak zupełnie inne zagadnienia niż obecnie.

Poniżej zamieszczono minimalny wykaz zadań, które muszą zostać podjęte przed 25 maja, ale również czynności do wykonania już po tym terminie.
 

Zadanie  
    
 
Przepis RODO   Praktyczne uwagi do zmian
 
Przed 25 maja 2018 r.    
1. Opracowanie polityki ochrony danych lub dostosowanie funkcjonującej dokumentacji  Art. 5,
art. 32 RODO  

Warto pomyśleć o przygotowaniu dokumentacji, która będzie choćby w prosty sposób opisywać procedury postępowania z danymi osobowymi, jakie zachodzą w jednostce. Nie musi być to żaden formalny dokument. RODO nie wymaga już bezwzględnie posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. 
Podczas tworzenia takiej dokumentacji kluczowe jest, by zastanowić się nad środkami ochrony danych. Te środki mają być takie, by zapewnić bezpieczeństwo danym (art. 32 RODO).
Chodzi o to, by dane nie wyciekły, by nie uzyskał do nich dostęp nikt nieuprawniony, 
by nikt ich nie skasował, zmodyfikował itp. Być może stosowane dotychczas zabezpieczenia techniczne i organizacyjne wystarczą. Być może warto rozważyć wdrożenie dodatkowych środków, które poprawią bezpieczeństwo ochrony danych. Może jakieś informacje w tych dokumentach nie odpowiadają rzeczywistości, należy je poprawić. Jeżeli nie masz polityki bezpieczeństwa i instrukcji, to warto, byś przygotował choćby jeden dokument opisujący postępowanie z danymi osobowymi w jednostce. W takim dokumencie powinny znaleźć się wszystkie istotne informacje dotyczące obiegu danych osobowych w placówce. Zanim przygotujesz dokumentację, wdróż odpowiednie procedury i środki ochrony danych osobowych, a dopiero potem je opisz. Chodzi o to, by dokumentacja odpowiadała rzeczywistości, a nie była tylko kolejnym niechcianym dokumentem.

Nowości do uwzględnienia w polityce:

  • informacje na temat administratora danych, inspektora ochrony danych osobowych (jeżeli został powołany), 
  • zapisy o ewidencjonowaniu, zgłaszaniu, komunikowaniu incydentów w ochronie danych (lub oddzielna procedura),
  • zapisy o prowadzeniu analizy ryzyka (lub oddzielna procedura),
  • przygotowanie wzoru rejestru czynności przetwarzania danych
2. Opracowanie 
polityki zarządzania 
naruszeniami i dokumentacji 
naruszeń z uwzględnieniem wzorów zawiadomień o naruszeniu dla podmiotu 
danych
Art. 33 i 34 RODO, motyw 85 oraz od 87 do 88 preambuły RODO

Administrator będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru – Prezesa UODO. Będzie też musiał poinformować daną osobę o naruszeniu jej danych (art. 33 RODO). Pojęcie „naruszenie ochrony danych osobowych” zasługuje na szczególną uwagę w związku z tym, że zostało zdefiniowane jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego 
z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych 
lub w inny sposób przetwarzanych. 

Nie trzeba zgłaszać naruszeń, jeśli dyrektor (IOD) oceni, że jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

Należy wypracować zasady i sposób:

  • oceny i kwalifikowania stwierdzonych naruszeń ochrony danych osobowych jako naruszeń, które z dużym prawdopodobieństwem mogą skutkować ryzykiem naruszenia praw i wolności osób fizycznych,
  • zgłaszania naruszeń ochrony danych osobowych Prezesowi UODO,
  • prowadzenia rejestru naruszeń
3. Opracowanie nowych klauzul informacyjnych Art. 13 i 14 RODO, 
motyw od 60 do 62 
preambuły
RODO

RODO wprowadza rozszerzony obowiązek informacyjny. Warto porównać art. 13 i 14 RODO i art. 24 i 25 obecnej ustawy o ochronie danych osobowych. RODO rozróżnia dwa rodzaje obowiązku informacyjnego – kiedy administrator danych zbiera je:

  • bezpośrednio od osoby,
  • w sposób pośredni (od innych podmiotów). 

Jedyne wskazówki, jakich udziela ustawa, dotyczą momentu spełnienia obowiązku informacyjnego: odpowiednio w momencie zbierania danych, po utrwaleniu zebranych danych. Ustawa o ochronie danych osobowych nie wskazuje na formę spełnienia obowiązku informacyjnego. Ważne jest, aby osoba, która przekazuje swoje dane osobowe, miała możliwość zapoznania się z treścią informacji. Po stronie administratora danych leży natomiast obowiązek skutecznego jej poinformowania. W związku z tym obowiązku informacyjnego można dopełnić:

  • poprzez ustne pr...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 10 wydań magazynu "Monitor Dyrektora Przedszkola"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • Możliwość pobrania materiałów dodatkowych
  • ...i wiele więcej!
Sprawdź

Przypisy