RODO – ochrona danych osobowych

W dużym uproszczeniu i tylko to co najważniejsze – takie są założenia do tego tekstu.

To nie jest kompendium, tylko materiał „dla początkujących”.

 

Błyskawiczny wstęp

Poradnie są miejscami, gdzie gromadzona jest bardzo duża ilość danych osobowych. To nie tylko dane teleadresowe, informacje o stanie zdrowia, wyniki testów, ale też nasze spisane obserwacje, wywiady. Oprócz „oczywistych” danych osobowych jak nazwisko i pesel, są nimi też wszelkie informacje umożliwiające zidentyfikowanie konkretnej osoby.

Dane osobowe są przetwarzane, ale to nie tylko ich udostępnianie ale już samo przechowywanie. Oprócz danych osobowych klientów mamy też dane naszych pracowników, a także stażystów czy osób które aplikowały u nas o pracę. Dane osobowe możemy przetwarzać, ale tylko w zakresie (celach) na jakie pozwalają nam przepisy prawa, np. rozporządzenia dot. działania poradni, orzecznictwa, itd. Konieczne jest przeprowadzenie i spisanie swoistej inwentaryzacji, m.in.: nasze działanie (np. rejestrowanie klienta), jakie dane osobowe przy tej okazji zbieramy i komu je ujawniamy.

Mamy też obowiązek zabezpieczać dane osobowe przed  dostępem osób nieuprawnionych – co w praktyce oznacza m.in. nie zostawianie teczek, dokumentów w obszarach ogólnodostępnych, dbanie o bezpieczeństwo systemów komputerowych (nieoczywiste hasła, bez karteczek przy monitorze z zapisanymi loginami i hasłami), nie wynoszenie danych poza obszar przetwarzania (poza poradnię).

Kolejnym obowiązkiem jest rejestrowanie kto do czego ma dostęp – pisemne upoważnienia na dostęp do danych osobowych oraz ewidencja tych upoważnień.

Koniecznie należy pamiętać o klauzulach – („zgodach”) informacjach dla klienta jakie dane osobowe przetwarzamy, dlaczego, na podstawie jakich przepisów i jakie są jego prawa.

Niektóre poradnie korzystają z aplikacji jako usług, czyli prowadzą swoje kadry, czy rejestrację klientów przez Internet. Wówczas z dostawcą takich usług trzeba mieć podpisaną umowę o powierzeniu przetwarzania danych osobowych.

Za wszystko odpowiada Administrator Danych Osobowych, czyli dyrektor poradni / szkoły / przedszkola (nawet jeśli opłaca abonament firmie za obsługę w zakresie tematu danych osobowych). Mógł mieć do pomocy administratora bezpieczeństwa informacji (ABI), a obecnie ma inspektora ochrony danych osobowych (IOD), którego dane kontaktowe muszą być umieszczone w widocznym miejscu w poradni i na stronie www (wystarczy e-mail czy telefon).

Nowe przepisy (RODO) w teorii wymuszają, aby ochronna danych osobowych była jedną z „filozofii” firmy/instytucji. Cokolwiek planujemy, robimy, mamy uwzględniać w tym jak będziemy chronić dane osobowe. W praktyce oprócz dokumentacji najważniejsza jest świadomość pracowników i dobre nawyki w zakresie przetwarzania danych osobowych. Tego niestety nie załatwią nawet najlepsze regulaminy i szkolenia – to codzienna praca dyrekcji i inspektora danych osobowych.

Konsekwencje prawno-finansowe niezastosowania się do przepisów w zakresie ochronny danych osobowych teoretycznie są być bardzo nieprzyjemne. Na Administratora (dyrektora) chyba lepiej podziała wyobrażenie sobie: co by się stało, gdyby pendrive z dziesiątkami opinii został przez kogoś znaleziony, a potem zaniesiony do prasy? Może ktoś podejrzał i sfotografował komórką zawieszone przy biurku loginy i hasła, uzyskał dostęp do całej bazy poradni – pracownicy, klienci, opinie? (autentyczna sytuacja z jednej z przychodni lekarskich).

 

Ochrona w kontekście RODO i nowej ustawy

Od 25 maja 2018 zacznie obowiązywać unijne Rozporządzenie o Ochronie Danych Osobowych (RODO; ang. GDPR). Zostało uchwalone dwa lata wcześniej, tylko miało vacatio legis. Chociaż jest to prawo unijne to TAK obowiązuje w Polsce i wszystkich innych krajach Unii – a także na całym świecie o ile ktoś przetwarza dane osobowe obywatela Unii. Jest to rozporządzenie z jednej strony długie, ale dość ogólne, kładące szczególny nacisk na kilka kwestii:

1. teoretycznie najważniejsze: dane osobowe to „świętość” i firma, instytucja we wszystkich swoich działaniach ma już na etapie planowania uwzględniać ich ochronę,
2. osoba której dane przetwarzamy musi być poinformowana, m.in.: kto zbiera, co zbiera, po co i jak te dane usunąć,
3. szczególnie chronione są dane dzieci i młodzieży,
4. Internet ma nie być „dzikim zachodem” – szczególnie w kontekście działań marketingowych i tak zwanego „big data”,
5. rodzaj dokumentacji nie jest określony, ale musi znaleźć się coś o nazwie: rejestr czynności przetwarzania danych osobowych,
6. trzeba mieć kogoś kto pełni u nas funkcję Inspektora Ochrony Danych osobowych (IOD); coś jak wcześniejszy ABI (Administrator Bezpieczeństwa Informacji),
7. wiele szczegółowych kwestii unijne Rozporządzenie nie reguluje, więc spodziewajmy się oprócz nowej Ustawy także wysypu polskich rozporządzeń.

 

Istniejące do tej pory krajowe przepisy w większości wygasają, ale mamy już nową polską ustawę o ochronie danych osobowych. Ustawę uchwalił już Sejm, podpisał Prezydent RP, ale nie przeszła jeszcze (stan na 23.05.2018) całej ścieżki legislacyjnej. Stara ustawa zachowuje ważność w niektórych swoich punktach (ponieważ rządzący nie zdążyli z nowymi odpowiednikami).

 

Jak poradnia może się przygotować do RODO

Kiedy czytałem nowe przepisy i ich opracowania w różnych językach europejskich to nasuwała mi się konkluzja: to jest ciekawe, ale trudne, bardzo pracochłonne, pisane z myślą o dużych firmach, korporacjach. Jednocześnie dotychczasowe przepisy, jeśli ktoś bliżej się z nimi zapoznał, także stawiały duże wymagania (szczególnie po lekturze wytycznych z GIODO). Z jednej strony nie może być mowy o kompromisach w zakresie ochrony danych osobowych, z drugiej strony trzeba ustalić priorytety.

Rozporządzenie unijne jest dość ogólne, a przepisy krajowe są w trakcie uchwalania, przygotowywania. Obecnie, w maju 2018, moim zdaniem nie można przygotować się „raz a porządnie” na RODO i „nową” ochronę danych osobowych. Dlatego, że nowe polskie rozporządzenia (jeszcze nie wydane) zapewne będą skutkować nowymi wymaganiami i dokumentami do przygotowania.

Proponuję podejście: maksymalnie wykorzystajmy tą dokumentacje i (dobrą) praktykę w zakresie ochronny danych osobowych, która do tej pory funkcjonowała w placówce, i na chwilę obecną tylko dostosujmy ją do wymagań RODO. Przez najbliższy rok, dwa, trzy lata będą wychodzić nowe przepisy związane z ochroną danych, będą utrwalać się pewne interpretacje, mogą pojawić się też rekomendacje branżowe (o których „wspomina” RODO). Takie podejście jest tylko sugestią.

Przy takim podejściu jest jedno, ale bardzo ważne zastrzeżenie. Jest sens zachowywania, ale tylko tego co było dobre, napisane „z głową”, zgodne z dotychczasowymi przepisami i dostosowane do specyfiki naszej placówki. Jeśli nasza dotychczasowa dokumentacja i praktyki funkcjonowały na zasadzie „kopiuj i wklej” to trzeba przygotować ją od nowa, od podstaw.

A co z kupowaniem dokumentacji dotyczącej ochrony danych osobowych? Wiele firm doradczych zasypuje poradnie i szkoły mailami i telefonami w tej sprawie. Ceny i zakres usług są bardzo różne. Tutaj podobnie jak przy każdej ofercie – są firmy bardziej i dużo mniej rzetelne. Nie będę nikogo polecał. Nie widzę też przeszkód dla których poradnia czy szkoła miałyby nie skorzystać z takiej oferty. Napiszę na co należy zwracać uwagę:

• Zakres usługi i wsparcia – czy dostaniemy tylko puste szablony, czy jakaś instrukcja do tego, a może generatory przez strony www, a może ktoś do nas przyjedzie i zrobi najpierw audyt.
• Czy oferują coś odnośnie Inspektora Ochrony Danych Osobowych – przeszkolenie, obsługa w ramach abonamentu, itp. Z czasem możliwe, że podobnie jak od BHP tak i w tym obszarze niektóre organy prowadzące zatrudnią osobę (Inspektora), która będzie obsługiwać wszystkie podległe placówki.
• Oszczędnym ideałem jest: wizyta pracownika firmy, mini-audyt (co mieliśmy i jak pracowaliśmy do tej pory, pomoc w inwentaryzacji – rejestrze czynności …), przygotowanie dokumentacji i omówienie jej z placówką (nie zawsze typowe rozwiązania będą „życiowe”, dostępne dla danej placówki), przeszkolenie pracowników (wszystkich).
• Firmy doradcze często mają wzory dokumentacji, które są napisane bardzo „ostrożnie”, zachowawczo. Z jednej strony to dobrze, ale czasami skutkuje to zapisami „na wyrost”, których nigdy nie będziemy w stanie zrealizować, a już szczególnie nie bez wydawania dodatkowych pieniędzy. Dużym błędem jest uchwalić coś z czego nigdy się nie wywiążemy.
• Kupując dokumentację czytajmy ją! Jeśli czegoś nie rozumiemy – pytajmy! Jeśli czegoś nie jesteśmy w stanie zrealizować – zgłaszajmy to firmie (może się okazać, że dane wymaganie można inaczej zrealizować).
• Z uwagi na to, że wiele przepisów dopiero zostanie zmienionych, wprowadzonych to dokumentacja poprawna dzisiaj już za pół roku może wymagać poprawek (i to nie tylko kosmetycznych).

Przyjmijmy, że nasza dotychczasowa dokumentacja i praktyki dobrze funkcjonują. Co musimy zrobić w kontekście RODO i nowej ustawy:

1. Zmienić podstawy prawne; dodając RODO i nową ustawę.
2. Uzupełnić nasze klauzule (informacyjne, zgody na przetwarzanie).
3. (opcja: zrobić „inwentaryzację” i „burzę mózgów” np. na Radzie na temat obecnie funkcjonującej dokumentacji i praktyki w zakresie ochrony danych osobowych, spisać wnioski – jednym z nich może być, że dobrze funkcjonuje).
4. (niby konieczność: przygotować analizę ryzyka w przetwarzaniu danych osobowych).
5. Stworzyć: rejestr czynności przetwarzania danych osobowych.
6. Ustalić kto będzie Inspektorem Ochrony Danych Osobowych. Pozmieniać w dokumentacji ABI na IOD.
7. Jeśli dotyczy to pozmieniać w dokumentacji odwołania do GIODO, na: Prezesa Urzędu Ochrony Danych Osobowych (PUODO); ma dopiero zostać powołany, zastąpi GIODO.
8. Jeśli dotyczy to podpisać, zaktualizować umowy z zewnętrznymi podmiotami na przetwarzanie „naszych” danych osobowych, np. kiedy mamy księgowość, kadry, e-dziennik przez Internet.
9. Sprawdzić jakie mamy zapisane regulacje na temat zgłaszania przypadków naruszenia ochrony danych osobowych i dostosować je do wymagań RODO.
10. Przeszkolić pracowników z ochronny danych osobowych, szczególnie w kontekście zmian, RODO.
11. Wprowadzić oficjalnie zmiany (aby weszły w życie z dniem 25 maja 2018).

Rozwinięcie punków 1, 2, 4, 5, 6 i 9 zamieszczono w dalszej części tekstu.

Truizmem jest stwierdzenie, że od dokumentacji ważniejsza jest praktyka. Trzeba jednak pamiętać, że każde naruszenie w zakresie ochrony danych osobowych może skutkować kontrolą. Chcąc zapobiec takiej nieprzyjemnej okoliczności – dbaj o codzienną dobrą praktykę, aby takich naruszeń nie było.

 

Nowe podstawy prawne

Pełna nazwa RODO:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1)

Pełna nazwa nowej polskiej ustawy:

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U z 2018, nr ???? – jeszcze nie opublikowana, ale ma zostać pod koniec maja, początkiem czerwca; 22.05.2018 ustawę podpisał Prezydent, więc jej publikacja to tylko formalność)

Stara polska ustawa o ochronie danych z 1997 zachowuje swoją ważność w niektórych punktach – na mocy zapisów nowej ustawy z 2018 r.

 

Klauzule

Kojarzą się nam ze zgodami na przetwarzanie danych osobowych – i jako takie dalej obowiązują. Niektóre placówki mają te zgody w „starej”, krótkiej, „złej” formule. Rozbudowana formuła, m.in. o informacje kto jest administratorem danych, jaki jest cel i podstawa prawna ich przetwarzania, są już bardzo zbliżone do tego co wymaga od nas RODO. Przy czym nie wszystkie dane jakie zbieramy są uzyskiwane na podstawie zgody osoby której dotyczą. W przypadku publicznej poradni czy szkoły najczęściej ich podanie będzie wynikać wprost z przepisów prawa – wówczas nie jest to kategoria przetwarzania „za zgodą”, wówczas nie pytamy o zgodę tylko informujemy jak opisano poniżej (w przypadku danych „za zgodą” też informujemy jak poniżej i dodatkowo o tą zgodę pytamy).

Osobą od których pozyskujemy dane osobowe mamy przekazać tzw. klauzulę informacyjną. Jak powinna wyglądać – zapewne jako placówka czy dyrektor jako osoba prywatna mieli już z nią styczność, ponieważ rozsyłają je teraz (maj 2018) różne firmy, m.in. banki. Co taka klauzula informacyjna ma zawierać:

• Dane administratora danych (naszej poradni, szkoły, itp.) i nasz adres, ewentualnie mail, telefon. Tutaj podajemy też dane naszego Inspektora Ochrony Danych Osobowych – przynajmniej jego mail lub telefon.
• Cele przetwarzania wraz z podstawą (prawną) przetwarzania. Można to różnie opisać – powinno być to sformułowane w prostym, zrozumiałym języku. Takim „najkrótszym” rozwiązaniem może być powołanie się na: dla celów wynikających z zadań określonych rozporządzeniem MEN z 01.02.2013 r. w
  sprawie szczegółowych zasad działania publicznych poradni psychologiczno-pedagogicznych, w tym publicznych poradni specjalistycznych (Dz. U. 2013 , poz. 19, wraz z późniejszymi zmianami – por. Dz.U. 2017, poz. 1647). Jest to dość wyczerpujące odwołanie, od razu z podstawą prawną, ale nie do końca „w duchu RODO”, ponieważ bez lektury przywołanego rozporządzenia klient właściwie dalej nie wie jakie są to cele. Dlatego możemy dodać: w tym w szczególności do diagnozowania dzieci i młodzieży oraz udzielania bezpośredniej pomocy psychologiczno-pedagogicznej. Można też dodać: a także realizowania zadań profilaktycznych oraz wspomagających pracę przedszkoli, szkół i placówek w zakresie realizacji zadań dydaktycznych, wychowawczych i opiekuńczych.
• Kategorie przetwarzanych danych. Tutaj wypisujemy jakie dane przetwarzamy. Na przykładzie typowego zgłoszenia do poradni będziemy mieli zapewne: dane identyfikujące osobę (imię i nazwisko, PESEL, datę urodzenia, miejsce urodzenia, przedszkole, szkołę lub placówkę do której uczęszcza dziecko, klasę, imiona i nazwiska rodziców lub opiekunów prawnych), dane adresowe (adres zamieszkania dziecka, adres zamieszkania rodziców lub opiekunów), dane teleadresowe (numer telefonu rodziców lub opiekunów), powód zgłoszenia i uzasadnienie, opinię o dziecku (ze szkoły, przedszkola lub placówki, a także od psychologa, pedagoga czy logopedy – o ile dotyczy). Dalej zaczynają się już „schody”, najprościej można opisać: wyniki przeprowadzonych diagnoz i konsultacji pedagogicznych, psychologicznych, logopedycznych oraz z zakresu doradztwa zawodowego, dane dotyczące dotychczasowego rozwoju dziecka i sytuacji społecznej (w zakresie niezbędnym do rzetelnej diagnozy). „Najtrudniejszą” kategorią są dane medyczne – trzeba bardzo pilnować, aby to co zbieramy miało potwierdzenie/umocowanie w przepisach prawa. Bardzo minimalistyczny przykładowy opis: dane dotyczące stanu zdrowia dziecka (choroby przewlekłe, wady wzroku, słuchu, narządu ruchu, stany medyczne wiążące się z niepełnosprawnością lub czasową niezdolnością do podejmowania nauki w szkole – o ile dotyczy).
• Okres przez który będą przetwarzane dane; o ile można go określić. Nie może to być uznaniowe, tylko wynikać z przepisów prawa lub celu przetwarzania. Dla szkół będzie to często rozporządzenie o prowadzeniu dokumentacji przebiegu nauczania.
• Odbiorcy danych. Na przykład: Dane osobowe mogą być udostępniane podmiotom uprawnionym do ich otrzymania na mocy obowiązujących przepisów prawa. Dane mogą być przekazane podmiotom przetwarzającym je w imieniu Poradni (przedszkola, szkoły, placówki), takim jak dostawcy usług informatycznych – ale wyłącznie w charakterze podwykonawcy (np. platforma e-dziennika), na podstawie umowy z Poradnią (przedszkole, szkołą, placówką).
• Informacja o prawach osoby, której dane dotyczą. Minimalistyczny przykład: W zakresie przetwarzania danych osobowych przysługują Pani/Panu prawa opisane w przepisach prawa w tym rozporządzeniu europejskim 2016/679 oraz ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018, poz. ??? – jeszcze nie opublikowana; stan na 23.05.2018) oraz ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, a także ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie określonym w art. 175 Ustawy z 10 maja 2018), w tym prawo do żądania sprostowania, usunięcia, ograniczenia przetwarzania danych, a w zakresie jakim podstawą przetwarzania danych jest przesłanka prawnie uzasadnionego interesu administratora – prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych, a także wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych.

 

Od strony praktycznej taką klauzulę informacyjną najlepiej zawrzeć na karcie zgłoszenia do poradni (lub analogicznym dokumencie szkolnym), ponieważ pod taką kartą rodzic się podpisuje (najlepiej wraz z aktualną datą) – co od razu potwierdza nam fakt, że miał okazję się z nią zapoznać. Z uwagi, że ta klauzula jest długa niektórzy zamieszczają ją w skróconej wersji z odesłaniem, gdzie jest jej pełna wersja. Przy czym skrócona wersja jest dalej długa, ponieważ i tak wymagane informacje musimy w niej zawrzeć, co najwyżej w (nieco) mniej rozbudowanej formule.

Jeśli chcemy przetwarzać dane osobowe do celów nie wynikających z obowiązku prawnego musimy uzyskać na to zgodę. Wówczas podobnie jak wcześniej pytamy o tą zgodę, np. na publikację fotografii laureata na stronie szkoły.

Dodatek. Przykład różnicy między wcześniejszymi przepisami a RODO – gdzie wyraźnie wyodrębniono przetwarzanie z przepisów prawa a za zgodą. Rozporządzenie MEN z 7 września 2017 ws orzeczeń i opinii wydawanych …, w par. 6, ust. 2, pkt 1) wnioskodawca tylko oświadcza, że wyraża zgodę na przetwarzanie danych … w celu wydania orzeczenia lub opinii, zaś w pkt 2 i 3 zapisano, że odnośnie „dodatkowych”/”nieobowiązkowych” kwestii związanych z orzeczeniem, może takiej zgody nie wyrazić. W myśl RODO pkt 1 to nie zgoda tylko obowiązek informacyjny, ponieważ przetwarzanie wynika z obowiązku prawnego, a tylko punkty 2 i 3 dotycząc przetwarzania na podstawie zgody.

 

Rejestr czynności przetwarzania danych osobowych

Tworząc rejestr czynności przetwarzania danych osobowych możemy wykorzystać to co już zapewne mamy w dokumentacji, czyli wykaz / rejestr zbiorów danych osobowych. Wcześniej opisywaliśmy co zbieramy i jak to zabezpieczamy, czasami przypisując każdemu zbiorowi numer porządkowy, aby później np. w upoważnieniach do przetwarzania danych nie przepisywać przydługich nazw zbiorów. Teraz robimy podobnie, ale na pierwszym miejscu w rejestrze czynności przetwarzania danych jest: po co konkretne dane zbieramy (cel; np. do rekrutacji pracowników, do prowadzenia dokumentacji szkolnej określonej w przepisach, itd.). Dlatego cały rejestr czynności musi być uporządkowany według celu przetwarzania.

Przygotowując rejestr trzeba przyjrzeć się jakie dane osobowe zbieramy w kontekście danego celu, tzn. nie wolno nam zbierać / przetwarzać więcej danych niż to niezbędne. Nie można gromadzić danych „na zapas”, więcej niż to konieczne i uzasadnione, np. przepisami prawa, ale też w kontekście diagnozy – wymaganiami metodyki pracy diagnostycznej. W tym kontekście jeśli w poradni mamy zgłoszenie trudności dydaktycznych, a odpytujemy ze szczegółów sytuacji wychowawczej i społeczno-emocjonalnej rodziny, oczywiście wszystko się ze wszystkim łączy, ale może być uznane za przekroczenie zgody, celu przetwarzania (o ile nie uzasadnimy tego innym celem, np. związanym z zadaniami publicznej poradni, czy szkoły).

Co rejestr czynności przetwarzania danych osobowych musi zawierać (niezbędne minimum):

• imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz Inspektora Ochronny Danych Osobowych
• Jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych
• oraz informacje o celu przetwarzania danych, opisie kategorii osób, których dane dotyczą, oraz kategorii danych osobowych (zakresu przetwarzania), kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, jeżeli to możliwe to także – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa o których mowa w art. 32 ust. 1 RODO. Ten punkt najlepiej zrealizować w tabelce, np.:

lp	Cel przetwarzania danych osobowych (najlepiej tutaj odrazu odnotować podstawę prawną przetwarzania)	Opis kategorii osób, których dane dotyczą	Opis kategorii danych osobowych (zakres przetwarzania)	Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione	Jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO
1	np. rekrutacja pracowników (p.p.: zgoda, kodeks pracy, karta nauczyciela)	kandydaci do pracy	dane identyfikujące osobę (imię i nazwisko, pesel, ….), dane adresowe, dane teleadresowe, wykształcenie, przebieg zatrudnienia, umiejętności i uprawnienia, … Można tutaj zamiast dokładnie wymieniać odnieść się do spisu naszych zbiorów danych osobowych, który powinniśmy mieć jeszcze w ramach „starej” dokumentacji i tylko wpisać np.: zbiory 1,15,16	zależy od trybu; mogą nie być nigdzie przekazywane, ale np. gdy w ramach konkursu to imiona i nazwiska kandydatów są publikowane	najczęściej będzie to np.: dokumenty składowane są w zamykanym meblu, w zamykanym pomieszczeniu lub systemie informatycznym zabezpieczonym loginem i hasłem; dostępne tylko dla upoważnionych osób
2
3

 

Analiza ryzyka

Poprawnie i kompleksowo wykonana analiza ryzyka jest procesem wymagającym dużo środków i doświadczenia. W dużym uproszczeniu polega na przyjrzeniu się jak przepływają u naszej placówce dane osobowe, w których miejscach, momentach są one szczególnie narażone na „wyciek” i ustalenie co robimy lub zamierzamy zrobić, aby je zabezpieczyć. Jeśli ochrona danych osobowych była u nas w placówce dobrze prowadzona przed RODO to prawdopodobnie w dotychczasowej dokumentacji mamy opisane jak chronimy dane (np. zamykanie, hasła, upoważnienia), a także mamy wypracowane odpowiednie, dobre praktyki (ochrona danych nie działa kiedy jest tylko „na papierze”). W wariancie bardzo minimalistycznym możemy więc tylko skorzystać z tego co już mamy.

 

Inspektor Ochrony Danych Osobowych

Kiedyś placówki publiczne musiały powołać Administratora Bezpieczeństwa Informacji (ABI), następnie było okres, kiedy było to dobrowolne. W niektórych szkołach zostawał nim wicedyrektor, czy nauczyciel (zapewne często uczący informatyki), inne zaś zatrudniały w tym celu zewnętrzną firmę. Podejrzewam, że żadna szkoła w Polsce nie stworzyła etatu tylko dla ABI. W uproszczeniu Inspektor Ochrony Danych Osobowych (IOD) to „nowy ABI”. Ich zadania się nieco różnią, ale generalnie są podobne. RODO podkreśla, że Inspektorem Ochronny Danych Osobowych musi być osoba kompetentna w zakresie ochronny danych, która ma odpowiednie środki i swobodę działania (jest „niezależna”). W praktyce to nadal Administrator Danych Osobowych (dyrektor) decyduje kto ma kompetencje, aby zostać Inspektorem.

W widocznym miejscu w placówce (i na stronie internetowej) trzeba zamieścić dane kontaktowe do naszego IOD – wystarczy telefon lub e-mail.

 

Zgłaszanie przypadków naruszenia ochrony danych osobowych

Administrator Danych Osobowych (dyrektor), posiłkując się IOD i ewentualnie innymi pracownikami przy okazji wykrycia każdego naruszenia ochrony danych osobowych („wycieku”) musi ustalić w jakim stopniu dane naruszenie („wyciek”) wiąże się z ryzykiem naruszenia praw lub wolności osoby, której dane naruszenie dotyczy [wiem, wielokrotnie powtórzone słowo „naruszenie”]. Prościej ujmując – oceniamy na ile dany „wyciek” danych może zaszkodzić sobie której dane wyciekły. Jeśli ryzyko oceniamy jako małe wówczas w ramach naszej placówki opisujemy co się stało, co zrobimy, aby więcej miejsca nie miało. Jeśli jednak ryzyko ocenimy jako większe niż małe to musimy dodatkowo obowiązkowo o naruszeniu ochrony danych powiadomić osobę/y której dane zostały naruszone oraz organ nadzorczy – którym jest Prezes Urzędu Ochrony Danych Osobowych (a raczej będzie – po wejściu nowej polskiej ustawy w życie). Mamy to zrobić niezwłocznie, do maksymalnie 72 godzin od zdarzenia.

 

Na zakończenie (nie)pocieszenie

Jeśli ten tekst wydaje Ci się długi wiedz, że artykuł ten nie przykrywa nawet wierzchołka góry lodowej jaką jest ochronna danych osobowych. Mam nadzieję, że przynajmniej pozwala zidentyfikować, gdzie ta góra pływa.

 

Moje doświadczenie

Ochrona danych osobowych to zadanie, które zlecono mi kilka lat temu. Dostosowywałem kupowane Polityki bezpieczeństwa, itd. do charakteru, wymogów, potrzeb i możliwości danej placówki, a także tworzyłem od podstaw całą dokumentacje. Pełniłem funkcję Administratora Bezpieczeństwa Informacji (ABI). Biorę udział w wydarzeniach branżowych. Teraz tłumaczę: co to jest to RODO – i „czy coś w poradni/szkole/organizacji/firmie musimy z tym robić”.