Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 17 STYCZNIA 2018

Procedura wdrażania RODO w przedszkolach w 17 krokach

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego

Krok 1. Przygotowanie harmonogramu wdrażania RODO

Zanim zostanie powołany inspektor ochrony danych (w przypadku placówek niepublicznych jeżeli dyrektor zdecyduje się go powołać), aby przygotować się do właściwego wypełniania nowych obowiązków, osoby wyznaczone do wdrożenia RODO w placówce oświatowej muszą opracować dostosowany odpowiednio do celów, zakresu i złożoności prowadzonych operacji przetwarzania danych osobowych szczegółowy harmonogram realizacji zadań, które należy w ramach takiego przygotowania zrealizować.

Powinien on określać:

  • osobę lub strukturę organizacyjną, która jest odpowiedzialna za realizację zadania,

  • osoby lub struktury organizacyjne współpracujące podczas realizacji zadania,

  • sposób realizacji zadania oraz opracowania wyników jego realizacji,

  • termin realizacji zadania.

Tworząc harmonogramy poszczególnych dni sprawdzeń warto pamiętać o przerwach oraz pozostawieniu pewnego marginesu czasowego. Często zdarza się w trakcie sprawdzenia, że osoba udzielająca wywiadu osobowego w sposób chaotyczny odpowiada na pytania, wtedy zadanie wszystkich pytań i zgromadzenie informacji może zająć więcej czasu. Podobnie w przypadku wizji lokalnej, gdy nagle się okazuje, że nie można znaleźć kluczy do archiwum albo odnalezienie umowy z konkretnym podmiotem zajmuje mnóstwo czasu.

 

Krok 2. Udział w szkoleniu

Po opracowaniu i zatwierdzeniu harmonogramu należy zorganizować szkolenie poświęcone nowym obowiązkom wynikającym z RODO, w tym w szczególności zadaniom określonym w harmonogramie. Szkoleniem powinny zostać objęte przede wszystkim osoby, które będą realizowały zadania wskazane w harmonogramie. W tym kroku należy zapoznać się z nowymi przepisami i informacjami o reformie.

 

Krok 3. Wykaz kategorii osób, których dane są przetwarzane

Należy opracować wykaz kategorii osób, których dane dotyczą i określić cele przetwarzania danych w odniesieniu do poszczególnych kategorii osób oraz kategorii przetwarzanych danych w związku z realizacją poszczególnych celów.

Do opracowania wykazu należy wykorzystać dokumentację opisującą sposób przetwarzania danych oraz stosowane środki techniczne i organizacyjne zapewniające ich ochronę (czyli politykę bezpieczeństwa i inne dokumenty) oraz zgłoszenia zbiorów danych przekazane do rejestracji GIODO lub rejestr zbiorów danych prowadzony przez administratora bezpieczeństwa informacji – jeśli został w placówce powołany. Wykaz należy uzgodnić ze wszystkimi, którzy uczestniczą w wyznaczeniu celów przetwarzania danych osobowych oraz organizowaniu sposobu ich przetwarzania, w tym ustalaniu zakresu przetwarzanych danych oraz czasu ich przechowywania.

 

Krok 4. Przeprowadzenie audytu systemu

Kolejnym zadaniem stojącym przed dyrektorem, które należy określić w harmonogramie, będzie przeprowadzenie sprawdzenia (analizy i oceny), czy dane osobowe są przetwarzane zgodnie z zasadami przetwarzania danych określonymi w RODO. Będzie trzeba również przygotować uzasadnienie, w którym zostanie wykazane, że te zasady są przestrzegane. Taką analizę i ocenę powinny przeprowadzić osoby, które mają istotny wpływ na określenie celów przetwarzania danych osobowych oraz zorganizowanie procesu ich przetwarzania w placówce oświatowej. Wytyczne do przeprowadzenia takiej analizy i oceny powinien przygotować ABI (jeżeli został powołany) albo dyrektor.

 

Krok 5. Uzupełnienie wykazu przetwarzanych danych

Po przeprowadzeniu tej analizy i oceny, dla każdej kategorii osób i celu przetwarzania danych dotyczących danej kategorii osób należy:

  • określić, jaki warunek jest podstawą prawną do przetwarzania danych,

  • określić, jaki warunek stanowi podstawę prawną do przetwarzania szczególnych kategorii danych osobowych,

  • uzasadnić jasnym i prostym językiem, przejrzystym dla osób, których dane dotyczą, że dane są przetwarzane rzetelnie,

  • potwierdzić i ewentualnie uzasadnić, że dane zbierane do konkretnych celów są adekwatne oraz niezbędne do osiągania tych celów oraz nie będą dalej przetwarzane niezgodnie z tymi celami,

  • określić działania, które są prowadzone, aby zapewnić, że dane, które są nieprawidłowe w świetle celów ich przetwarzania, będą niezwłocznie usuwane lub korygowane,

  • potwierdzić i ewentualnie uzasadnić, że przetwarzane dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane.

 

Krok 6. Audyt zapewniania bezpieczeństwa danych osobowych

Kolejnym zadaniem, które należy określić w harmonogramie, jest przeprowadzenie sprawdzenia (analizy i oceny), czy dane osobowe są przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, czyli czy jest przestrzegana zasada „integralność i poufność”.