OPUBLIKOWANO: 12 STYCZNIA 2018
Nowe obowiązki administratora danych osobowych – część 2
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej z 4.5.2016 r. L 119/1),
- Projekt ustawy o ochronie danych osobowych (z 12 września 2017 r.).
W myśl nowych przepisów dotyczących ochrony danych osobowych, „administratora danych” zastąpi „administrator”. Jakie będą w związku z tym nowe obowiązki dyrektora jako przedstawiciela administratora danych?
Placówki oświatowe muszą się przygotować do nowych unijnych przepisów dotyczących ochrony danych osobowych, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Mają na to czas do 25 maja 2018 r. – wtedy ów akt prawny zacznie obowiązywać.
Przedstawiamy drugą część kolejnego artykułu z cyklu dotyczącego zmian w zakresie przetwarzania i ochrony danych osobowych.
Badanie ryzyka naruszenia bezpieczeństwa danych
Obowiązki dyrektora przedszkola, których realizacja ma na celu zapewnienie odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych, oraz wskazówki, w jaki sposób taki cel należy osiągać, są określone w art. 32 oraz motywie (83) preambuły RODO. Zgodnie z nimi poziom bezpieczeństwa przetwarzanych danych osobowych powinien być odpowiedni do zidentyfikowanego ryzyka naruszenia praw i wolności osób fizycznych, wiążącego się z przetwarzaniem danych.
Ogólne Rozporządzenie o ochronie danych wprost nie nakłada na przedszkole obowiązku zarządzania ryzykiem naruszenia praw i wolności osób fizycznych, które wiąże się z przetwarzaniem danych, jednak z treści i logiki przepisów RODO wynika, że właściwą drogą do zapewnienia odpowiedniego do tego ryzyka poziomu bezpieczeństwa jest zarządzanie tym ryzykiem. Jednocześnie w art. 32 ust. 1 lit. a, b, c oraz d RODO znajduje się zalecenie, według którego w stosownym przypadku należy wdrażać następujące środki techniczne i organizacyjne, które zapewniają stopień bezpieczeństwa odpowiadający zarządzanemu ryzyku:
- pseudonimizację i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania.
Prowadzenie rejestru czynności przetwarzania danych
Jednym z obligatoryjnych środków ochrony danych osobowych zawartym w RODO jest prowadzenie rejestru czynności przetwarzania danych osobowych, który obejmuje informacje wymienione w art. 30 ust. 1 RODO.
Rejestr ten można opracować, wykorzystując w szczególności:
- posiadaną dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
- prowadzony przez administratora bezpieczeństwa informacji rejestr zbiorów danych,
