Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
STAN PRAWNY NA 19 MARCA 2021
Audyt z zakresu ochrony danych osobowych
Opracował: Michał Łyszczarz, prawnik, główny specjalista w Wydziale Oświaty w Urzędzie Miasta w Dąbrowie Górniczej, współautor komentarza do Ustawy o systemie oświaty oraz szeregu publikacji z zakresu prawa oświatowego
Podstawa prawna:
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobo-wych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L. z 2016 r. Nr 119 poz. 1),
• Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U. z 2021 r. poz. 35).
Pojęcie audytu pojawia się przede wszystkim w Ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych i jakkolwiek audyt z zakresu ochrony danych osobowych, czyli ogólnie audyt zgodności z RODO, nie dotyczy bezpośrednio czynności wykonywanych w ramach go-spodarowania środkami publicznymi, to jednak warto odnieść się do definicji audytu, jaka w ww. Ustawie się znajduje.
Zgodnie z art. 272 audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. W przypadku audytu z zakresu ochrony danych osobowych, czyli audytu zgodności z RODO, niezależność i obiektywność można osiągnąć, powierzając audyt podmiotowi zewnętrznemu, a taki walor ma np. inspektor ochrony danych (IOD), niezatrudniony w strukturze organizacyjnej przed-szkola. Celem tego rodzaju audytu będzie wspieranie dyrektora w ocenie, czy przestrzegane są wymogi RODO w zakresie zasad przetwarzania danych.
Warto również wspomnieć, że audyt zgodności z RODO stanowi element kontroli zarządczej. Podobnie jak audyt finansowy ma na celu wykrycie niezgodności z procedurami oraz ewentu-alnych zagrożeń dla funkcjonowania jednostki, szczególnie takich, które mogłyby zakończyć się wyciekiem danych osobowych, błędami przetwarzania itd., czyli grozić nałożeniem na jednostkę kary finansowej w związku z niezgodnym z prawem postępowaniem z danymi oso-bowymi.
Z takiego stanu rzeczy wypływa dość oczywisty wniosek, że rolą audytu jest wzmocnienie kontroli zarządczej i umożliwienie kierownikowi jednostki, w tym przypadku dyrektorowi jednostki systemu oświaty, sprawne i efektywne zarządzanie nią w oparciu o powstałe w ten sposób spostrzeżenia płynące z ocen zawartych w wynikach audytu wewnętrznego.
Charakteryzując cel audytu, warto wspomnieć, iż ustawodawca wskazał miejsca, w których audyt ma rację bytu. Określił to w treści art. 274 Ustawy o finansach publicznych, wymieniając imiennie lub rodzajowo jednostki, w których audyt prowadzony jest obligatoryjnie z mocy ustawy. Przytoczyć tu można ust. 4 tej regulacji, zgodnie z którym audyt wewnętrzny prowa-dzi się również w jednostkach sektora finansów publicznych, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego.
Przepis ten dotyczy wyłącznie audytu finansowego, natomiast w praktyce wskazuje, że to dy-rektor podejmuje decyzję o przeprowadzeniu audytu wewnętrznego. Taka sama zasada obo-wiązuje w odniesieniu do audytu zgodności z RODO, z tym że należy rozszerzyć zakres jed-nostek podlegających temu audytowi w stosunku do zakresu wymienionego w Ustawie, która co do zasady odnosi się do jednostek sektora finansów publicznych. Tymi zaś, w przypadku przedszkoli, są wyłącznie jednostki budżetowe, a więc przedszkola gminne. Tymczasem audyt zgodności z wymaganiami RODO nie może być przeprowadzany wyłącznie w przedszkolach gminnych, ponieważ niesamorządowe publiczne i niepubliczne przedszkola także przetwarzają dane osobowe i mają obowiązek powołania inspektora ochrony danych.
Inspektor ochrony danych
Podmiotem przeprowadzającym audyt może być IOD. Zgodnie z założeniami RODO zawsze posiada on niezbędne kwalifikacje do przeprowadzenia tego typu czynności, takie są bowiem wymagania formalne stawiane przez inspektorem. Chodzi tu przede wszystkim o treść art. 38 ust. 2 RODO, stosownie do którego administrator oraz podmiot przetwarzający wspierają in-spektora w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby nie-zbędne do utrzymania jego wiedzy fachowej.
Jakkolwiek IOD wydaje się podmiotem najbardziej uprawnionym do przeprowadzenia audytu zgodności z RODO, to jednak żadna regulacja nie stanowi wprost, że to wyłącznie on może taki audyt przeprowadzić. Należy tu zwrócić uwagę na treść art. 39 ust. 1 RODO, w myśl któ-rego IOD ma następujące zadania:
• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniej-szego Rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
• monitorowanie przestrzegania niniejszego Rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiąz-ków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w ope-racjach przetwarzania oraz powiązane z tym audyty,
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monito-rowanie jej wykonania,
• współpraca z organem nadzorczym,
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związa-nych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przy-padkach prowadzenie konsultacji we wszelkich innych sprawach.
Ocena skutków poszczególnych działań dla ochrony danych i monitorowanie ochrony danych należą zatem do IOD-a. Jest on naturalnym wyborem do przeprowadzenia audytu, ale dyrek-tor może powołać do tego własny zespół.
Plan audytu
Podstawą audytu musi być jego plan. Można jego utworzenie powierzyć IOD-owi, ale dyrek-tor może również stworzyć własny plan audytu lub wskazać IOD-owi jedynie podstawowe kwestie, którymi audyt powinien się zająć. W tym zakresie warto zauważyć, że rolą audytu w obecnej sytuacji epidemiologicznej powinno być również ustalenie, czy środki techniczne, używane w celu komunikacji na odległość na potrzeby nauki zdalnej, zapewniają wystarcza-jącą ochronę danych osobowych przesyłanych w ten sposób. Nie ma przy tym znaczenia, że obecnie przedszkola nie są objęte ograniczeniem zajęć i prowadzą naukę w trybie stacjonar-nym, gdyż ograniczenie to już obowiązywało, a zadaniem audytu jest odpowiedzieć na pyta-nie, czy obecne środki zabezpieczenia danych zdadzą również egzamin w przyszłości. Należy zakładać, że okres ograniczenia prowadzenia zajęć stacjonarnych może ponownie objąć przedszkola, jeżeli sytuacja epidemiczna ulegnie pogorszeniu.
Uzasadnieniem dla badania zabezpieczenia danych osobowych przy nauce zdalnej jest rów-nież możliwość prowadzenia zdalnych posiedzeń rad pedagogicznych, która obecnie wynika wprost z przepisów. W trakcie takich posiedzeń podejmowane są tematy związane bezpośred-nio z przetwarzaniem danych osobowych nauczycieli i dzieci, w tym przetwarzaniem danych szczególnej kategorii, czyli danych wrażliwych. W takcie posiedzeń rady podejmowane są tematy związane z edukacją włączającą, orzeczeniami i opiniami poradni psychologiczno-pedagogicznych. Prawidłowe zabezpieczenie tych danych przed utratą w trakcie korzystania ze środków komunikacji elektronicznej jest kluczowe dla zapewnienia prawidłowego funk-cjonowania przedszkola.
Istotne jest więc ustalenie priorytetów, wybranie obszarów audytu, które są szczególnie ważne dla administratora i w obecnej sytuacji wiążą się z ryzykiem naruszenia ochrony danych oso-bowych.
Narzędzia i pytania audytowe
Każdy audyt przeprowadzany jest w oparciu o specyficzne narzędzia i przy użyciu właściwej dla danego badania metodologii. W przypadku badania zgodności zasad przetwarzania da-nych z wymogami RODO można wykorzystać szereg przydatnych instrumentów, wśród któ-rych można wskazać ankiety dostępne dla rodziców i pracowników przedszkola, wywiady z pracownikami, oględziny, badanie nośników informatycznych czy wreszcie wgląd w doku-mentację, prowadzoną zarówno w formie papierowej, jak i elektronicznej.
Przeprowadzony audyt powinien odpowiedzieć na kilka podstawowych pytań. Pierwszym z nich jest pytanie o to, czy zakres przetwarzanych przez administratora danych osobowych ma charakter minimalny. Zasada mówiąca o przetwarzaniu jedynie minimalnej liczby danych wynika z regulacji art. 5 RODO, który wskazuje właśnie podstawowe zasady przetwarzania danych. Zgodnie z tą regulacją dane osobowe muszą być:
• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której da-ne dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych nie jest uznawane, w myśl art. 89 ust. 1, za niezgodne z pierwotnymi celami („ograniczenie celu”),
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działa-nia, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zo-stały niezwłocznie usunięte lub sprostowane („prawidłowość”),
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwa-rzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one prze-twarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego Rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”),
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobo-wych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarza-niem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpo-wiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Z przepisu tego wynika zasada adekwatności przetwarzanych danych. Od właściciela danych lub osoby w imieniu właściciela występującej, czyli rodziców, można żądać wyłącznie tych danych, które są niezbędne do wykonania danego zadania.
Kolejne pytanie, na które musi odpowiedzieć audyt, dotyczy tego, czy został spełniony obo-wiązek informacyjny, ten zaś wynika z treści art. 13 RODO i według tej regulacji administra-tor, czyli dyrektor przedszkola, podczas zbierania danych osobowych powinien podać m.in.:
• swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
• dane kontaktowe inspektora ochrony danych – gdy ma to zastosowanie,
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnie-ją (takim odbiorcą danych są kuratorzy – organy nadzoru pedagogicznego),
• okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
• informacje o prawie do żądania od administratora dostępu do danych osobowych do-tyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
• informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgod-ność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnię-ciem,
• informacje o prawie wniesienia skargi do organu nadzorczego,
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umow-nym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobo-wiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
Obowiązek informacyjny względem rodziców dziecka powinien zostać spełniony w momen-cie zawarcia umowy i zapisania dziecka do przedszkola. W przypadku pracowników obowią-zek ten powstaje w momencie nawiązania stosunku pracy lub w momencie, gdy stał się wy-magany przez wejście w życie RODO – w zależności od tego, co nastąpiło pierwsze.
Kolejna kwestia, jaką należy rozpatrzyć, dotyczy tego, jakimi danymi dysponuje przedszkole oraz ewentualnego zmodernizowania zasad ochrony. Pamiętać należy, że ochrona obejmuje zarówno narzędzia informatyczne, jak i programy antywirusowe, ale też procedury i zabez-pieczenia mechaniczne. Procedury to zasady postępowania z danymi, np. ograniczenie prawa dostępu do SIO wyłącznie do wyraźnie wskazanego pracownika i na wydzielonym, odpo-wiednio zabezpieczonym stanowisku pracy. Zabezpieczenia mechaniczne będą natomiast do-tyczyć np. dokumentacji w formie papierowej i obejmować szafy zamykane na klucz, do któ-rego dostęp ma tylko dyrektor.
Audytor powinien zbadać także treść zgód na przetwarzanie danych pod kątem ich zgodności z prawem oraz prawidłowość prowadzenia rejestru czynności przetwarzania danych. Badanie powinno obejmować zasady szczególne ochrony danych, np. ich anonimizację czy pseudoni-mizację.
Podsumowanie
Audyt zgodności jest narzędziem, które ułatwia dyrektorowi ustalenie, czy przedszkole speł-nia wymogi dotyczące ochrony danych osobowych, a co za tym idzie, czy jest bezpieczne przed zarzutami o naruszenie tej ochrony, nie jest on jednak obligatoryjny. Wyłącznie dyrektor decyduje o tym, czy taki audyt przeprowadzić i w jakim czasie oraz jakie kwestie poddać ocenie. Niezależnie od tego, czy przepisy wymagają audytu, czy też nie, podkreślić należy, że jest to narzędzie bardzo przydatne i w razie wycieku danych pozwolić może na odsunięcie odpowiedzialności za takie naruszenie – daje dowód na to, że dyrektor dochowuje wszelkiej staranności, dbając o zapewnienie bezpieczeństwa danych.
