Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 13 MARCA 2018 

 

Dokumentacja ochrony danych po zmianach. Część II

 

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego

 

Podstawa prawna:

 

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE. L 119/1),
  • Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych (z 12 września 2017 r.).

 

Jakie dokumenty i procedury – w myśl nowych przepisów o ochronie danych osobowych – obowiązywać będą w poradni po 25 maja? Co zrobić z dotychczas wykorzystywaną dokumentacją? Zachęcamy do lektury kolejnej części artykułu.

 

Przygotowanie dokumentacji zgodnej RODO

 

Poniżej zamieszczony został opis działań, które ułatwią przejście ze „starej” dokumentacji na „nową”. Warto zachować kolejność wykonywanych działań. W ten sposób uprościmy całą procedurę i w maksymalny sposób wykorzystamy dotychczasowe teksty.

 

Krok 5. Ewidencjonowanie i zgłaszanie naruszeń

 

Nowością RODO jest dyrektorski obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru – Prezesa UODO (art. 33 RODO). Chodzi o sytuacje, gdy dane, które gromadzi jednostka, wyciekają, zostały utracone w niewiadomych okolicznościach lub gdy uzyskuje do nich dostęp ktoś nieuprawniony. Każdy taki incydent powinien być wyłapany, zewidencjonowany i zaraportowany. Wszystko po to, by móc w ciągu 72 godzin podjąć decyzję, czy zgłaszać naruszenie do organu nadzorczego, czy nie. Należy wypracować odpowiednie procedury, które pozwolą na monitorowanie, ewidencjonowanie i zgłaszanie naruszeń danych.

 

Ważne!

Do organu nadzorczego nie trzeba zgłaszać naruszeń, jeśli dyrektor poradni oceni, że jest mało prawdopodobne, by skutkowały one ryzykiem naruszenia praw lub wolności osób fizycznych.

 

RODO określa minimum informacji, które powinny znaleźć się w zgłoszeniu naruszenia organowi nadzorczemu:

 

  • opis charakteru naruszenia, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie,
  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych,
  • opis możliwych konsekwencji naruszenia,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym, w stosownych przypadkach, środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

W przypadku poradni prawdopodobieństwo, że takie zgłoszenie do organu nadzorczego będzie obowiązkowe, jest mniejsze, chociaż nie można tego wykluczyć. Warto jednak opracować procedurę na wypadek zaistnienia naruszenia ochrony danych, ewidencję incydentów naruszenia ochrony danych osobowych oraz wzór raportu z naruszenia ochrony danych osobowych.

 

Krok 6. Komunikat o naruszeniu ochrony danych

 

Według RODO (art. 34) o naruszeniu ochrony danych trzeba zawiadomić osoby, których dane dotyczą. W przypadku poradni ten obowiązek został ograniczony w nowych przepisach dotyczących ochrony danych w Karcie nauczyciela, Ustawie o systemie oświatyUstawie Prawo oświatowe