Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

 

 

Nowe obowiązki administratora danych osobowych – część 2

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej z 4.5.2016 r. L 119/1),
  • Projekt ustawy o ochronie danych osobowych (z 12 września 2017 r.).

 

W myśl nowych przepisów dotyczących ochrony danych osobowych, „administratora danych” zastąpi „administrator”. Jakie będą w związku z tym nowe obowiązki dyrektora jako przedstawiciela administratora danych?

 

Placówki oświatowe muszą się przygotować do nowych unijnych przepisów dotyczących ochrony danych osobowych, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Mają na to czas do 25 maja 2018 r. – wtedy ów akt prawny zacznie obowiązywać.

 

Przedstawiamy drugą część kolejnego artykułu z cyklu dotyczącego zmian w zakresie przetwarzania i ochrony danych osobowych.

 

Badanie ryzyka naruszenia bezpieczeństwa danych

 

Obowiązki dyrektora przedszkola, których realizacja ma na celu zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych, oraz wskazówki, w jaki sposób taki cel należy osiągać, są określone w art. 32 oraz motywie (83) preambuły RODO. Zgodnie z nimi poziom bezpieczeństwa przetwarzanych danych osobowych powinien być odpowiedni do zidentyfikowanego ryzyka naruszenia praw i wolności osób fizycznych, wiążącego się z przetwarzaniem danych.

 

Ogólne Rozporządzenie o ochronie danych wprost nie nakłada na przedszkole obowiązku zarządzania ryzykiem naruszenia praw i wolności osób fizycznych, które wiąże się z przetwarzaniem danych, jednak z treści i logiki przepisów RODO wynika, że właściwą drogą do zapewnienia odpowiedniego do tego ryzyka poziomu bezpieczeństwa jest zarządzanie tym ryzykiem. Jednocześnie w art. 32 ust. 1 lit. a, b, c oraz d RODO znajduje się zalecenie, według którego w stosownym przypadku należy wdrażać następujące środki techniczne i organizacyjne, które zapewniają stopień bezpieczeństwa odpowiadający zarządzanemu ryzyku:

 

  • pseudonimizację i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania.

 

Prowadzenie rejestru czynności przetwarzania danych

 

Jednym z obligatoryjnych środków ochrony danych osobowych zawartym w RODO jest prowadzenie rejestru czynności przetwarzania danych osobowych, który obejmuje informacje wymienione w art. 30 ust. 1 RODO.

 

Rejestr ten można opracować, wykorzystując w szczególności:

 

  • posiadaną dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
  • prowadzony przez administratora bezpieczeństwa informacji rejestr zbiorów danych,
  • zgłoszenia zbiorów danych przekazane do rejestracji GIODO,