Przetwarzanie danych osobowych - dokumentacja RODO – wdrożenie od 25 maja 2018r.

Zmiana podejścia do ochrony danych osobowych odejście od schematów i sztywnych reguł, administrator ochrony danych (ADO) – odpowiada za tworzenie wewnętrznych procedur, działań praktycznych w celu realizacji zadania – ochrona danych osobowych, opracowanie i wdrożenie mechanizmów oceny ryzyka występującego podczas realizacji procesu - przetwarzanie danych osobowych, bieżący monitoring i ocena ryzyk, zasada rozliczalności – wykazanie zgodności przetwarzania danych osobowych z obowiązującym prawem.

Dokumentacja Rejestr czynności przetwarzania danych (RCPD) – obowiązkowy. Co warto prowadzić (wprowadzić)?: Polityka ochrony danych osobowych (obecnie Polityka bezpieczeństwa – wymaga przeglądu i wnikliwej analizy), Instrukcja zarządzania systemami informatycznymi (obecnie prowadzona, wymaga przeglądu), Umowa powierzenia przetwarzania danych (jeśli istnieje konieczność przekazania części zadania innemu podmiotowi/ jednostce – np. CUW – rachuba, Klauzula dotycząca obowiązków informacyjnych.

Dokumentacja c.d. Upoważnienia, ewidencje, klauzule zachowania poufności, Instrukcja zgłaszania incydentów naruszenia danych osobowych, wzór zgłoszenia incydentu do organu nadzorczego, procedura postępowania, Obowiązki prowadzenia dokumentacji w związku z realizacją zasady rozliczalności. Jednostka oświatowa przetwarza dane osobowe w związku z realizacją celów wynikających z ustaw: Karta Nauczyciela; Kodeks pracy; Prawo oświatowe; Kodeks postępowania administracyjnego; o finansowaniu zadań oświatowych; o systemie oświaty; wprowadzającej przepisy ustawy- Prawo oświatowe; a także innych ustaw, jeśli w związku z realizacją celów w nich zawartych przetwarzane są dane osobowe osób fizycznych.

Rejestr czynności przetwarzania danych osobowych określenie podstawy prawnej (celów) przetwarzania danych osobowych, określenie właściciela procesu (AOD), podział osób, których dane są przetwarzane, na kategorie, określenie rodzaju przetwarzanych danych osobowych dla każdej kategorii osób, określenie kategorii odbiorców, opisanie sposobu prowadzenia RCPDO – papierowo, elektronicznie, określenie sposobu pozyskiwania danych – bezpośrednio, z rejestrów - np. wykaz uczniów zamieszkujących obwód szkoły), okres przechowywania danych, ogólny opis zastosowanych środków bezpieczeństwa, w tym dokumentacja dotycząca zabezpieczeń, transfer danych do państwa trzeciego – inne niż państwa UE – okoliczności zasady (…), data ostatnie aktualizacji, w tym przeglądu Rejestru

Rejestr czynności przetwarzania danych osobowych – c.d. Rejestr może mieć formę papierową lub elektroniczną . Może być prowadzony jako tabela, gdzie kolumny będą nazwane wg zakresu czynności podejmowanych w związku z przetwarzaniem i ochroną danych, zaś wiersze to osoby (w podziale na kategorie), których dane osobowe AOD przetwarza. Powinien być jasny i czytelny, na bieżąco weryfikowany, poddawany monitoringowi i ewaluacji, stąd konieczność umieszczenia daty ostatniej modyfikacji. Nie można i nie należy zakładać, że Rejestr będzie w pełni gotowy i w całości uzupełniony na dzień 25.05.2018r. Nie mniej data jego założenia to 25.05.2018r. Rejestr to dokument, który musi być na bieżąco monitorowany i modyfikowany.

Polityka Ochrony Danych Osobowych (Polityka Bezpieczeństwa ODO) Wprowadzenie w życie przepisów RODO nie może i nie oznacza, że dotychczasowa Polityka Bezpieczeństwa Ochrony Danych jest całkowicie bezużytecznym dokumentem. Wiele zapisów PODO można wykorzystać: wykaz definicji; cel przetwarzania danych; zakres przetwarzania danych; ewidencja zbiorów danych osobowych (inwentaryzacja); zasady przetwarzania DO, w tym upoważnienia i ewidencja osób upoważnionych, procedury, znajomość regulacji wewnętrznych, zasada tajności (niejawności), powierzenia przetwarzania DO, udostępnianie DO, aktualizacja DO; opis organizacji ochrony danych (wskazanie AOD, IODO, użytkowników DO, kadry kierowniczej jednostki); wykaz i opis budynku (pomieszczeń); opis środków organizacyjnych, technicznych niezbędnych do ochrony DO; opis zdarzeń naruszających DO (opis sytuacji w których AOD może stwierdzić, że doszło do naruszenia DO); opis środków organizacyjnych i technicznych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych osobowych (np. proces pseudonimizacji, analiza ryzyka naruszenia ODO, przeglądy bezpieczeństwa itp). PODO jest wewnętrznym dokumentem organizacji.

Polityka ochrony Danych Osobowych c.d. Zasady postępowania w sytuacji naruszenia Bezpieczeństwa Danych Osobowych: opis zasad ogólnych – np. szczegółowy opis raportu zgłoszenia naruszenia DO, obowiązki AOD w sytuacji naruszenia DO, obowiązki IOD w sytuacji naruszenia DO, opis działań korygująco – naprawczych w przypadku naruszenia DO, wykaz załączników – wzory, podsumowanie.

Instrukcja zarządzania systemami informatycznymi - IZSI dokument nie jest obowiązkowy, zawiera zbiór zasad i procedur ochrony DO w systemach informatycznych, IZSI, podobnie jak Polityka ochrony danych osobowych, nie mogą być udostępniane osobom trzecim. To wewnętrzny dokument organizacji, adresowany do użytkowników przetwarzających dane osobowe w systemach informatycznych, zawiera m.in.: procedury nadawania uprawnień do systemów informatycznych przetwarzających DO; opis metod i środków uwierzytelniania dostępu; procedury tworzenia i przechowywania kopii zapasowych; sposób, miejsce i okres przechowywania nośników informacji; sposób zabezpieczenia systemu informatycznego; opis procedur wykonywania przeglądów i konserwacji.

Umowa powierzenia przetwarzania danych osobowych Dotyczy sytuacji, w której podmiot zewnętrzny (inna jednostka organizacyjna np. CUW) przetwarza w imieniu AOD dane osobowe, w związku z realizacją powierzonych zadań (płace). Podmiot zewnętrzny przetwarza DO na polecenie AOD, zgodnie z celami i sposobem przetwarzania DO przyjętymi przez AOD. Umowa powierzenia powinna mieć formę pisemną. AOD powinien zweryfikować podmiot, któremu powierza DO. Podmiot przetwarzający dane powinien zagwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych w celu ochrony DO. Podmiot, któremu AOD powierzył to zadanie przetwarza dane wyłącznie w zleconym zakresie, co wynika z umowy powierzenia. Jeśli podmiot wykorzysta dane niezgodnie z umową, to stanie się dla tych danych AOD. Umowa określa: przedmiot przetwarzania danych; czas trwania procesu, zapewnienie o zachowaniu tajemnicy; zapewnienie, że podmiot przetwarzający podejmie wszelkie środki organizacyjne i techniczne w celu ochrony DO; opis postępowania po zakończeniu procesu.

Klauzula dotycząca obowiązków informacyjnych katalog informacji, jakie należy przekazać osobie, której dane są przetwarzane został rozszerzony, o czym wspomniano w poprzedniej prezentacji, zalecana jest forma pisemna klauzuli, zawartość klauzuli: tożsamość AOD; dane kontaktowe IOD; cel przetwarzania DO, w tym podstawy prawne; informacja o powierzeniu (jeśli istnieje); sposobie transferu danych do państwa trzeciego (poza UE); opis zabezpieczeń, możliwości uzyskania kopii, miejscu udostępniania DO; okres przechowywania; prawo do wglądu, sprostowania, usunięcia (z uwzględnieniem przepisów uPo), ograniczenia przetwarzania DO; informacja dot. przenoszenia DO (jeśli może mieć miejsce); prawo wniesienia skargi do organu nadzorczego. Jeśli dane są zbierane z innego źródła (np. wykaz uczniów z obwodu) klauzula zawiera informację - kategorie pozyskiwanych danych i źródła ich pochodzenia, opracowana w sposób zwięzły, jasnym, zrozumiałym językiem.

Upoważnienia do przetwarzania DO upoważnienie do przetwarzania danych DO musi mieć formę pisemną, należy określić jakich czynności dotyczy upoważnienie przetwarzania DO, jakich zbiorów, czas obowiązywania upoważnienia, upoważnienie wydaje AOD lub IOD, przetwarzanie danych odbywa się zawsze w imieniu AOD, upoważnienie należy umieścić w aktach osobowych upoważnionego pracownika. A zatem nic nowego

Instrukcja zgłaszania incydentów Incydent naruszenie DO do UODO zgłasza AOD w przeciągu 72 godz. od zajścia. Nie należy zakładać, że incydent nie będzie zgłoszony, chociaż RODO przewiduje wyłączenia. Niezbędne elementy zgłoszenia: opis naruszenia DO (również rodzaj danych/ kategoria, ilość osób …), dane IOD, opis przewidywanych konsekwencji w związku z naruszeniem DO, opis proponowanych działań korygująco – naprawczych, AOD prowadzi rejestr naruszeń. proces powiadomienia osoby, której dane zostały naruszone.

Zasada rozliczalności art. 5 RODO AOD wdraża środki gwarantujące ochronę danych osobowych, czynności związane z przetwarzaniem i ochroną danych osobowych są dokumentowane, przestrzeganie przepisów ochrony danych osobowych jest obowiązkiem AOD, Należy pamiętać, że brak przepisów krajowych utrudnia dopracowanie procesu ochrony danych osobowych, również w odniesieniu do przepisów regulowanych w ustawach szczególnych i przetwarzanych w związku z realizacją zadań określonych w tych ustawach. Obowiązki AOD zostały Państwu przedstawione w poprzedniej prezentacji.

Grażyna Burek