Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 16 MARCA 2016
ZAKTUALIZOWANO: 4 WRZEŚNIA 2017

 

Procedura alarmowa ochrony danych osobowych w szkole

 

Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist specjalizujący się w dziedzinie ochrony danych osobowych

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745),
  • Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz.U. z 2016 r. poz. 1666 ze zm.),
  • Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz.U. z 2017 r. poz. 459 ze zm.).

 

Zgodnie z Ustawą o ochronie danych osobowych obowiązkiem każdego Administratora Danych, a zatem również i szkoły reprezentowanej przez jej dyrektora, jest stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych tą ochroną. Dotyczy to w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww. Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 Ustawy).

 

Stosowane przez szkoły rozwiązania w zakresie bezpieczeństwa danych są niekiedy niewystarczające, co skutkuje wystąpieniem tzw. incydentu ochrony danych osobowych. Co rozumiemy pod tym pojęciem? Jakie działania należy podjąć po jego wykryciu? Jak skutecznie zastosować procedurę alarmową ochrony danych osobowych? Jak uchronić się przed wystąpieniem incydentu w przyszłości? Odpowiedź na te i inne pytania znajdą Państwo w niniejszym artykule.

 

Krok 1: Rozpoznanie

 

Incydent z zakresu ochrony danych osobowych stanowi każde umyślne i nieumyślne działanie lub zaniechanie, które powoduje naruszenie przepisów z zakresu ochrony danych osobowych lub procedur ochrony informacji obowiązujących w strukturach Administratora Danych. Do incydentów zaliczymy również zdarzenia losowe i działania sił natury, jeżeli tylko naruszą one bezpieczeństwo danych.

 

Incydentem będzie zatem każda sytuacja, która spowoduje, że zagrożone będą dane osobowe ucznia, jego rodzica, pracownika szkoły lub innej osoby. Mogą to być przypadki działania osób trzecich (np. kradzież danych z serwerów szkoły), działania pracowników szkoły (np. przypadkowe wysłanie pocztą elektroniczną adresów innych adresatów, pozostawienie dziennika lekcyjnego na korytarzu szkolnym), ale także pożar lub zalanie archiwum szkolnego.

 

Zgodnie z art. 36 ust. 2 Ustawy o ochronie danych osobowych Administrator Danych zobowiązany jest do prowadzenia dokumentacji ochrony danych osobowych. Na tę dokumentację składają się: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Elementy obligatoryjne tych dokumentów określa Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Nic nie stoi jednak na przeszkodzie, by jeden z elementów dokumentacji stanowiła procedura alarmowa ochrony danych osobowych, opisująca wprost, jakie zdarzenia należy uznać za incydent ochrony danych i jakie należy powziąć w tym zakresie działania, a w szczególności - kogo o tym fakcie należy poinformować i w jakiej formie. Procedura ta może stanowić oddzielny dokument. Ważne jest to, aby z jego treścią zapoznały się osoby, które w ramach swojej pracy przetwarzają dane osobowe, ponieważ najczęstsze przypadki incydentów wiążą się z niską świadomością dotyczącą ochrony danych. Dlatego niezwykle ważnym elementem są szkolenia i zapoznanie osób przetwarzających dane z obowiązującymi w tym zakresie regulacjami.