Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam
Zapraszamy do zapoznania się z serwisem w wersji demo. Aby uzyskać pełen dostęp do treści kliknij "kup dostęp" i wybierz opcję najlepszą dla siebie.
Kup Dostęp Darmowy dostęp na 14 dni
, czyli dzisiaj kończy się dostęp do Twojego Niezbędnika. Przedłuż już teraz w promocji
Przedłuż
Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Wznów dostęp

OPUBLIKOWANO: 12 MARCA 2018

Co się zmieni – wykaz zmian w ochronie danych osobowych w DPS

Opracowali: Grzegorz Madej, Prawnik, specjalista z zakresu ochrony danych osobowych w  administracji i biznesie, Administrator Bezpieczeństwa Informacji

Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.),

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Unijne przepisy wprowadzają duże zmiany w zasadach przetwarzania danych osobowych. Które z nich są istotne dla funkcjonowania domów pomocy społecznej?

Od 25 maja 2016 roku obowiązują przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – tzw. RODO. Przepisy te wprowadzają duże zmiany w zakresie ochrony danych osobowych. Niniejszy artykuł prezentuje najważniejsze z nich, istotne dla funkcjonowania DPS-ów.

 

Obszary związane

z ochroną danych osobowych

Dotychczasowe regulacje

Zmiany po 25 maja 2018 r. związane z RODO

Administrator

Administratorem danych jest dps, w imieniu którego obowiązki administratora danych osobowych wykonuje dyrektor. On decyduje o celach i środkach przetwarzania danych. Na administratorze danych spoczywa odpowiedzialność za przetwarzane dane osobowe, bez względu na to, kto faktycznie administruje tymi danymi i kto je przetwarza. Jest odpowiedzialny za bezpieczeństwo tych danych oraz ponosi odpowiedzialność za naruszanie przepisów o ochronie danych osobowych.

 

Pojęcie „administrator danych” zostało zastąpione pojęciem „administrator”. Jest to osoba fizyczna lub prawna, organ publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. W przypadku DPS-u administratorem będzie placówka reprezentowana przez dyrektora. Do podstawowych obowiązków i odpowiedzialności administratora zgodnie z RODO w szczególności będzie należało:

  • przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w RODO,

  • wykonywanie obowiązków, które wynikają z praw osób, których dotyczą dane osobowe,

  • zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych,

  • przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych zgodnie z zasadami określonymi w Rozporządzeniu – jeżeli administrator realizuje takie operacje,

  • wyznaczenie inspektora ochrony danych (art. 37 ust. 1 RODO).

  • Nowe obowiązki administratora danych

    RODO przewiduje dla administratorów danych wiele nowych obowiązków i zadań. Wprowadzony zostanie m.in. obowiązek:

  • informowania o naruszeniu danych – w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki (nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) będzie informował o zaistniałej sytuacji organ nadzorczy oraz osoby, których dane dotyczą (może to uczynić przez zamieszczenie stosownej informacji na stronie internetowej lub BIP),

  • ochrony prywatności na etapie planowania ochrony danych – administrator już na etapie planowania swoich działań związanych z przetwarzaniem danych powinien wybierać rozwiązania i narzędzia najbardziej sprzyjające ochronie prywatności i danych osobowych,

  • oceny skutków prowadzonych operacji przetwarzania danych osobowych,

  • powołania inspektora ochrony danych osobowych.

Współadministrator

Nie było to uregulowane. Nie było możliwe powołanie współadministratora.

Instytucja współadministratorów jest nowością w porządku prawnym. Do tej pory administratorzy danych nie mieli możliwości powołania współadministratora.

Za współadministratorów uważa się tych administratorów danych, którzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych (przynajmniej dwóch). W drodze wspólnych uzgodnień w przejrzysty sposób określają podział zadań w zakresie wypełniania obowiązków wynikających z RODO. Przypadki przetwarzania danych osobowych zawartych w jednym zbiorze przez wielu administratorów danych: szkolenia, konferencje, seminaria współorganizowane przez kilka podmiotów.

 

Osoba odpowiedzialna za prawidłowe przetwarzanie chronionych danych

Dyrektor, jako przedstawiciel administratora danych, odpowiada za przetwarzanie danych. Przypominam, że formalnie administratorem jest jednostka – dps, a dyrektor występuje w jej imieniu.

Kwestie te nie ulegną zmianie po wejściu w życie nowych przepisów, dalej za przetwarzanie danych w placówce będzie odpowiadał dyrektor. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych czy wynajęcie firmy zewnętrznej w tym obszarze nie zwalnia z tej odpowiedzialności. Dlatego każdy dyrektor powinien dobrze się przygotować i wdrożyć RODO. Dyrektor odpowiada zarówno przed organem nadzorczym, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

Obowiązki administratora danych

W rozdziale 5 obecnej ustawy o ochronie danych osobowych wymienione zostały obowiązki ciążące na administratorach danych osobowych, służące ich ochronie. Na podstawie art. 36-39 UODO dyrektorzy dps mają następujące obowiązki organizacyjne i nadzorcze:

  • ustalenie, jakiego rodzaju dane osobowe są przetwarzane w dps oraz jakie zbiory danych są prowadzone,

  • spełnienie przesłanek uprawniających do przetwarzania danych osobowych zwykłych (np. zgoda osoby, której dane dotyczą, wykonywanie uprawnienia lub obowiązku wynikającego z przepisów prawa, wykonywanie określonych przez prawo zadań realizowanych dla dobra publicznego),

  • dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza zapewnienia, aby dane osobowe były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane,

  • zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (np. zabezpieczenie przed dostępem osób nieupoważnionych do pomieszczeń, w których wykonywane są jakiekolwiek operacje na danych osobowych, wydzielenie stosownych stref, pomieszczeń, mebli czy sprzętu oraz ich zabezpieczenie, systemy alarmowe, ochrona, ustalenie zasad i kontroli dostępu do miejsc przechowywania lub przetwarzania danych osobowych),

  • opracowanie i wdrożenie polityki bezpieczeństwa informacji oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,

  • możliwość powołania administratora bezpieczeństwa informacji (w przypadku niepowołania ABI jego zadania wykonuje administrator danych (art. 36a i b UODO) – od 1 stycznia 2015 r.,

  • zgłoszenie do rejestracji Generalnemu Inspektorowi, powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania (art. 46b UODO) – od 1 stycznia 2015 r.,

  • nadanie upoważnień osobom dopuszczonym do przetwarzania danych osobowych,

  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,

  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,

  • respektowanie praw osób, których dane dotyczą,

  • zgłoszenie zbioru danych osobowych do rejestracji GIODO, jeśli taka rejestracja jest wymagana przepisami prawa.

RODO przewiduje dla administratorów danych wiele nowych obowiązków i zadań. Wprowadzony zostanie obowiązek:

  • informowania o naruszeniu danych – w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki (nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) będzie informował na stronie internetowej lub BIP,

  • ochrony prywatności na etapie planowania ochrony danych – administrator już na etapie planowania swoich działań związanych z przetwarzaniem danych powinien wybierać rozwiązania i narzędzia najbardziej sprzyjające ochronie prywatności i danych osobowych,

  • oceny skutków prowadzonych operacji przetwarzania danych osobowych (opis w dalszej części tabeli),

  • zatrudnienia inspektora ochrony danych osobowych.