OPUBLIKOWANO: 12 MARCA 2018

Procedura wdrażania RODO w DPS

Opracował: Dariusz Skrzyński, prawnik, specjalista z zakresu prawa oświatowego

Krok 1. Przygotowanie harmonogramu wdrażania RODO

Zanim zostanie powołany inspektor ochrony danych, aby przygotować się do właściwego wypełniania nowych obowiązków, osoby wyznaczone do wdrożenia RODO w dps muszą opracować dostosowany odpowiednio do celów, zakresu i złożoności prowadzonych operacji przetwarzania danych osobowych szczegółowy harmonogram realizacji zadań, które należy w ramach takiego przygotowania zrealizować.

Powinien on określać:

• osobę lub strukturę organizacyjną, która jest odpowiedzialna za realizację zadania,

• osoby lub struktury organizacyjne współpracujące podczas realizacji zadania,

• sposób realizacji zadania oraz opracowania wyników jego realizacji,

• termin realizacji zadania.

Tworząc harmonogramy poszczególnych dni sprawdzeń warto pamiętać o przerwach oraz pozostawieniu pewnego marginesu czasowego. Często zdarza się w trakcie sprawdzenia, że osoba udzielająca wywiadu osobowego w sposób chaotyczny odpowiada na pytania, wtedy zadanie wszystkich pytań i zgromadzenie informacji może zająć więcej czasu. Podobnie w przypadku wizji lokalnej, gdy nagle się okazuje, że nie można znaleźć kluczy do archiwum albo odnalezienie umowy z konkretnym podmiotem zajmuje mnóstwo czasu.

Krok 2. Udział w szkoleniu

Po opracowaniu i zatwierdzeniu harmonogramu należy zorganizować szkolenie poświęcone nowym obowiązkom wynikającym z RODO, w tym w szczególności zadaniom określonym w harmonogramie. Szkoleniem powinny zostać objęte przede wszystkim osoby, które będą realizowały zadania wskazane w harmonogramie. W tym kroku należy zapoznać się z nowymi przepisami i informacjami o reformie.

Krok 3. Wykaz kategorii osób, których dane są przetwarzane

Należy opracować wykaz kategorii osób, których dane dotyczą i określić cele przetwarzania danych w odniesieniu do poszczególnych kategorii osób oraz kategorii przetwarzanych danych w związku z realizacją poszczególnych celów.

Do opracowania wykazu należy wykorzystać dokumentację opisującą sposób przetwarzania danych oraz stosowane środki techniczne i organizacyjne zapewniające ich ochronę (czyli politykę bezpieczeństwa i inne dokumenty) oraz zgłoszenia zbiorów danych przekazane do rejestracji GIODO lub rejestr zbiorów danych prowadzony przez administratora bezpieczeństwa informacji – jeśli został w placówce powołany. Wykaz należy uzgodnić ze wszystkimi, którzy uczestniczą w wyznaczeniu celów przetwarzania danych osobowych oraz organizowaniu sposobu ich przetwarzania, w tym ustalaniu zakresu przetwarzanych danych oraz czasu ich przechowywania.

Krok 4. Przeprowadzenie audytu systemu

Kolejnym zadaniem stojącym przed dyrektorem, które należy określić w harmonogramie, będzie przeprowadzenie sprawdzenia (analizy i oceny), czy dane osobowe są przetwarzane zgodnie z zasadami przetwarzania danych określonymi w RODO. Będzie trzeba również przygotować uzasadnienie, w którym zostanie wykazane, że te zasady są przestrzegane. Taką analizę i ocenę powinny przeprowadzić osoby, które mają istotny wpływ na określenie celów przetwarzania danych osobowych oraz zorganizowanie procesu ich przetwarzania w domu pomocy społecznej. Wytyczne do przeprowadzenia takiej analizy i oceny powinien przygotować ABI (jeżeli został powołany) albo dyrektor.

Krok 5. Uzupełnienie wykazu przetwarzanych danych

Po przeprowadzeniu tej analizy i oceny, dla każdej kategorii osób i celu przetwarzania danych dotyczących danej kategorii osób należy:

• określić, jaki warunek jest podstawą prawną do przetwarzania danych,

• określić, jaki warunek stanowi podstawę prawną do przetwarzania szczególnych kategorii danych osobowych,

• uzasadnić jasnym i prostym językiem, przejrzystym dla osób, których dane dotyczą, że dane są przetwarzane rzetelnie,

• potwierdzić i ewentualnie uzasadnić, że dane zbierane do konkretnych celów są adekwatne oraz niezbędne do osiągania tych celów oraz nie będą dalej przetwarzane niezgodnie z tymi celami,

• określić działania, które są prowadzone, aby zapewnić, że dane, które są nieprawidłowe w świetle celów ich przetwarzania, będą niezwłocznie usuwane lub korygowane,

• potwierdzić i ewentualnie uzasadnić, że przetwarzane dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane.

Krok 6. Audyt zapewniania bezpieczeństwa danych osobowych

Kolejnym zadaniem, które należy określić w harmonogramie, jest przeprowadzenie sprawdzenia (analizy i oceny), czy dane osobowe są przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, czyli czy jest przestrzegana zasada „integralność i poufność”.

Taką analizę powinny przeprowadzić osoby odpowiedzialne w dps za projektowanie, wdrażanie, funkcjonowanie oraz ocenę skuteczności środków technicznych i organizacyjnych, których zadaniem jest zapewnienie odpowiedniego bezpieczeństwa danych osobowych. Po przeprowadzeniu analizy, ABI albo dyrektor powinien ocenić czy bezpieczeństwo danych osobowych jest zapewnione na odpowiednim poziomie.

Krok 7. Ustalenie zakresu praw przysługującym danym grupom

Wziąwszy pod uwagę prawa osób, których dotyczą przetwarzane przez placówkę dane, przygotowując się do stosowania przepisów ogólnego rozporządzenia o ochronie danych, osoby odpowiedzialne w dps za wdrożenie RODO powinny podjąć działania, by ustalić:

• które z praw i w jakim zakresie będą przysługiwały osobom, których dotyczą dane,

• które z praw oraz wynikające z tych praw obowiązki zostały ograniczone,

• kto, w jakim zakresie i w jaki sposób będzie realizował obowiązki wynikające z praw osób, których dotyczą dane.

Informacje te powinien ustalić zespół, w którego w skład powinni wejść:

• ABI – jeżeli został powołany,

• osoby, które mają istotny wpływ na określenie celów przetwarzania danych osobowych oraz zorganizowanie procesu ich przetwarzania w dps.

Nowe uprawnienia w RODO

RODO przyznaje osobom fizycznym, których dane osobowe są przetwarzane, sporo nowych uprawnień, które muszą być respektowane przez dps:

• „prawo do bycia zapomnianym”, czyli trwałe usunięcie danych osobowych przetwarzanych przez daną instytucję; dotyczy to informacji w formie cyfrowej, papierowej i kopii zapasowej,

• żądanie przeniesienia danych np. do innego podmiotu przy zmianie umowy,

• rozszerzone prawo dostępu i wglądu osoby w jej dane m.in.: prawo do otrzymania kopii danych,

• roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z powodu niewłaściwego przetwarzania danych.

Krok 8. Zaplanowanie analizy i zarządzania ryzykiem

Poziom bezpieczeństwa przetwarzanych danych osobowych powinien być odpowiedni do zidentyfikowanego ryzyka naruszenia praw i wolności osób fizycznych wiążącego się z przetwarzaniem danych (art. 32 oraz pkt 83 preambuły RODO).

Aby zapewnić odpowiedni poziom bezpieczeństwa danych, dps musi wdrożyć odpowiednie środki techniczne i organizacyjne, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Dotychczas było to określone w polityce bezpieczeństwa i instrukcji zarządzania systemami informatycznymi.

RODO nie nakłada wprost na dps obowiązku zarządzania ryzykiem naruszenia praw i wolności osób fizycznych, które wiąże się z przetwarzaniem danych, jednak z treści i logiki przepisów RODO wynika, że właściwą drogą do zapewnienia odpowiedniego do tego ryzyka poziomu bezpieczeństwa jest zarządzanie tym ryzykiem.

Należy wdrażać następujące środki techniczne i organizacyjne, które zapewniają stopień bezpieczeństwa odpowiadający zarządzanemu ryzyku (art. 32 ust. 1 lit. a, b, c oraz d RODO):

• pseudonimizację i szyfrowanie danych osobowych,

• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,