Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 13 LUTEGO 2018

 

Dokumentacja ochrony danych po zmianach (Ochrona danych osobowych – nowe zasady, cz. 4 1b)

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego

 

Podstawa prawna:

 

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE. L 119/1),
  • Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (z 12 września 2017 r.).

 

Krok 4. Upoważnienia

 

Jeżeli chodzi o ewidencję osób upoważnionych i wzór upoważnienia, to w tych dokumentach nie musimy nic zmieniać, jeśli jednostka upoważnia te same osoby do przetwarzania danych osobowych. Jeżeli jednak w treści odnoszą się one do art. 37 Ustawy o ochronie danych osobowych (dalej: uodo.), to warto to poprawić. Należy wdrożyć takie zabezpieczenia techniczne czy organizacyjne, by tylko osoby upoważnione mogły uzyskać dostęp do danych osobowych i je przetwarzać. Dalej można prowadzić ewidencję osób upoważnionych, by odnotowywać w niej wszystkie osoby upoważnione do przetwarzania danych osobowych.

 

Krok 5. Ewidencjonowanie i zgłaszanie naruszeń

 

Nowością RODO jest dyrektorski obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru – Prezesa UODO (art. 33 RODO). Chodzi o sytuacje, gdy dane, które gromadzi jednostka, wyciekają, zostały utracone w niewiadomych okolicznościach lub gdy uzyskuje do nich dostęp ktoś nieuprawniony. Każdy taki incydent powinien być wyłapany, zewidencjonowany i zaraportowany. Wszystko po to, by móc w ciągu 72 godzin podjąć decyzję, czy zgłaszać naruszenie do organu nadzorczego, czy nie. Należy wypracować odpowiednie procedury, które pozwolą na monitorowanie, ewidencjonowanie i zgłaszanie naruszeń danych.

 

Uwaga!

Do organu nadzorczego nie trzeba zgłaszać naruszeń, jeśli dyrektor szkoły oceni, że jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

 

RODO określa minimum informacji, które powinny znaleźć się w zgłoszeniu naruszenia organowi nadzorczemu:

 

  • opis charakteru naruszenia, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych,
  • opis możliwych konsekwencji naruszenia,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

W przypadku szkoły prawdopodobieństwo, że takie zgłoszenie do organu nadzorczego będzie obowiązkowe, jest mniejsze, chociaż nie można tego wykluczyć. Warto jednak opracować procedurę na wypadek zaistnienia naruszenia ochrony danych, ewidencję incydentów naruszenia ochrony danych osobowych oraz wzór raportu z naruszenia ochrony danych osobowych.

 

Krok 6. Komunikat o naruszeniu ochrony danych

 

Według RODO (art. 34) o naruszeniu ochrony danych trzeba zawiadomić osoby, których dane dotyczą. W przypadku szkół ten obowiązek został ograniczony w nowych przepisach dotyczących ochrony danych w Karcie nauczyciela, Ustawie o systemie oświatyUstawie Prawo oświatowe