Poznan.pl, oficjalna strona Miasta Poznania

Administratorem Danych Osobowych danych osobowych w jednostce organizacyjnej jest ten, kto decyduje o celach i sposobach przetwarzania tych danych, czyli np.: przedszkole/ szkoła/ zespół przedszkoli/ zespół szkół/ poradnia psychologiczno-pedagogiczna/ dom pomocy społecznej etc., którą reprezentuje dyrektor.

Tak, jednostka organizacyjna, jako jednostka samorządu terytorialnego ma obowiązek wyznaczyć inspektora ochrony danych i wynika to wprost z art. 9 ustawy o ochronie danych osobowych w związku z 37 ust. 1 RODO. O fakcie wyznaczenia inspektora ochrony danych (oraz jego zastępcy) należy powiadomić organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych Osobowych, poprzez odpowiedni formularz na stronie https://uodo.gov.pl

W Mieście Poznaniu wyznaczenie IOD w jednostkach oświaty i innych jednostkach organizacyjnych, które zgłosiły taką chęć, następuje na podstawie porozumienia w sprawie zapewnienia jednolitych standardów współpracy Urzędu Miasta Poznania z miejską jednostką organizacyjną w zakresie wspólnego systemu ochrony danych osobowych oraz wyznaczenia Inspektora Ochrony Danych (patrz: Zarządzenie nr 512/2019/P PMP z dnia 17.06.2019 r. w sprawie określenia zasad współpracy UMP z mjo w zakresie wspólnego systemu ochrony danych osobowych).

Tak, w przypadku wyznaczenia inspektora ochrony danych, należy opublikować jego dane zgodnie z art. 37 ust. 7 RODO. Zgodnie z art. 11 ustawy o ochronie danych osobowych, jeżeli jednostka posiada stronę www, to przy jej pomocy należy podać do wiadomości dane inspektora ochrony danych oraz jego zastępcy, tj. imię i nazwisko oraz adres e-mail. W przypadku braku strony www, publikacja powinna nastąpić np. w BIP albo na tablicy ogłoszeń w holu jednostki.

Zadania inspektora ochrony danych zostały określone w art. 39 RODO. Zgodnie z tym przepisem, inspektor w oparciu o swoje doświadczenie i wiedzę fachową, wspiera administratora we wszystkich zadaniach, w trakcie których dochodzi do przetwarzania danych i czuwa nad ich prawidłowością. Natomiast zgodnie z art. 38 RODO administrator zapewnia, aby inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Tak. Inspektor ochrony danych jest zobowiązany do tajemnicy lub poufności co do wykonywania swoich zadań, zgodnie z prawem UE lub prawem krajowym.

Jednostka zobowiązana jest do przestrzegania zasad ochrony danych osobowych, w tym m.in. do:

a. Spełnienia względem osób, których dane dotyczą, obowiązku informacyjnego (poprzez klauzule informacyjne),

b. Zabezpieczenia danych osobowych przez zastosowanie odpowiednich środków technicznych i organizacyjnych, tak aby dane te nie były udostępniane osobom nieupoważnionym oraz aby dane te były chronione przed zniszczeniem albo utratą,

c. Respektowania praw osób, których dane są przetwarzane,

d. Wyznaczenia inspektora ochrony.

Tak. Zgodnie z art. 30 RODO jednostka jest zobowiązana do prowadzenia rejestru czynności przetwarzania.

Co do zasady taki rejestr nie musi być prowadzony w jednostce, jednakże należy tę kwestię skonsultować z właściwym IOD. Zgodnie z art. 30 ust. 1 RODO, taki rejestr musi natomiast prowadzić jednostka, która jest podmiotem przetwarzającym dla innych organizacji. Zgodnie z zapisami porozumienia o współpracy zawartej pomiędzy jednostką miejską a Urzędem, w sporządzeniu RKP - jak w przypadku innych rejestrów wskazanych w RODO, Administratora wspomaga wyznaczony IOD.

Ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO, należy przeprowadzić wtedy, kiedy przypuszczamy, że przetwarzanie danych w ramach określonej czynności może wiązać się z bardzo poważnymi, negatywnymi skutkami dla osób, których dane dotyczą. Taką ocenę należy wprowadzić zawsze przed wdrożeniem np. monitoringu wizyjnego, nowego systemu informatycznego, dziennika elektronicznego, systemu do odbioru dzieci oraz pracy zdalnej. Zgodnie z porozumieniem o współpracy zawartej pomiędzy jednostką miejską a Urzędem, w sporządzeniu DPiA wspomaga wyznaczony IOD.

Obowiązek informacyjny jest jednym z obowiązków nałożonych na administratora danych przez przepisy RODO. Obowiązek ten zakłada, że osoba, której dane są przetwarzane ma prawo do uzyskania informacji na temat zakresu, podstawy, czasu i sposobu przetwarzania jej danych osobowych.

Obowiązek informacyjny powinien zostać wykonany, gdy administrator pozyska dane osobowe, najlepiej przy pierwszym kontakcie z osobą. Wykonuje się go poprzez przekazanie zainteresowanemu klauzuli informacyjnej, wywieszeniu ją w widocznym miejscu na terenie jednostki oświatowej bądź umieszczeniu na stronie internetowej.

Umowa powierzenia przetwarzania stanowi podstawę prawną do legalnego przekazania danych dzieci/uczniów/wychowanków, rodziców, pracowników, etc., podmiotowi zewnętrznemu, który świadczy dla jednostki oświatowej jakieś usługi, np. informatyczne, księgowe, dostarcza system, archiwizacji, etc.

Obowiązek zawarcia umowy powierzenia przetwarzania następuje zawsze wtedy, gdy administrator zleca innej organizacji przetwarzanie zgromadzonych przez siebie danych w ściśle określonym przez siebie celu. Umowę powierzenia przetwarzania należy zawrzeć m.in. wraz z umową o archiwizację, umową o asystę informatyczną, umową hostingu, umową o PABS, Progman, BIP, Nabór, iPrzedszkole, Neonki, Vulcan, Librus, w niektórych przypadkach również BHP.

Nie należy zawierać umowy powierzenia przetwarzania z pielęgniarką w szkole bądź z zakładem medycyny pracy, ponieważ podmioty te są odrębnymi administratorami danych osobowych.

Incydent bezpieczeństwa danych, to każde jedno zdarzenie, mające wpływ na bezpieczne przetwarzanie danych w organizacji.

Naruszeniem ochrony danych jest natomiast taki rodzaj incydentu, w czasie którego krytycznie zachwiano bezpieczne sposoby przetwarzania danych osobowych, prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ich ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych.

Administrator powinien zawiadomić inspektora ochrony danych o każdym, nawet pozornie nieistotnym, ale nietypowym zdarzeniu, które nastąpiło w trakcie przetwarzania danych. Następnie wspólnie powinni ocenić wagę naruszenia i określić środki bezpieczeństwa, a także środki zaradcze w celu minimalizacji oraz zapobieganiu na przyszłość podobnym zdarzeniom. Inspektor ochrony danych pomoże również ustalić, czy incydent bezpieczeństwa danych mieści się w kategoriach naruszenia ochrony danych, które podlega obowiązkowemu zgłoszeniu do UODO.

W przypadku naruszenia ochrony danych osobowych, które zostało zakwalifikowane jako incydent, administrator niezwłocznie (w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia) zgłasza je Prezesowi UODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Z uwagi na krótki czas na zgłoszenie, istotne jest, aby administrator danych osobowych, po informacji o potencjalnym naruszeniu, włączył w postępowanie wyjaśniające IOD.

Tak, zgodnie z art. 33 ust. 5 RODO, administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, również te, które nie były zgłaszane Prezesowi UODO.

Tak. Obowiązek taki wynika z przepisów dot. zadań administratora i inspektora ochrony danych.

Szkolenie z ochrony danych należy przeprowadzać cyklicznie, co najmniej raz w roku. Ponadto szkolenie należy przeprowadzić również w momencie zatrudnienia nowego pracownika, w przypadku zmian w prawie bądź zmian w wewnętrznych procedurach i regulaminach oraz po zaistniałym incydencie. Warto zadbać o to, aby wiedza pracowników była regularnie odświeżana i aktualizowana. Takie działanie pozwala udoskonalić wiedzę praktyczną oraz wyrobić dobre nawyki w ochronie danych osobowych.

W celach kontrolnych należy móc udokumentować odbyte szkolenie przez pracowników.