Smaller Default Larger

Ochrona danych osobowych. Nowa rzeczywistość.

Styczeń przynosi nam spore zmiany w ustawie o ochronie danych osobowych. O dziwo na korzyść administratora. Oświatowców zainteresować mogą dwie informacje:

 1.  OD 15 stycznia nie musimy już rejestrować zbiorów danych osobowych nie przetwarzanych za pomocą systemów informatycznych z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 (czyli danych szczególnie wrażliwych). Oznacza to, że jeżeli przetwarzamy dane w sposób tradycyjny, papierowy, to z wyjątkiem danych szczególnie wrażliwych takich zbiorów nie musimy już zgłaszać do GIODO. To spore ułatwienie dla dyrektora przedszkola, czy szkoły. Przypomnijmy, że danymi szczególnie wrażliwymi w myśl ustawy są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Zanim więc odetchniemy z ulgą, że jeden obowiązek mniej, sprawdźmy, czy nasze zbiory, których nie musimy już rejestrować nie zawierają przypadkiem wymienionych danych szczególnie wrażliwych.

 

 2. Druga spora zmiana zainteresuje z pewnością większe placówki i dotyczy powołania Administratora Bezpieczeństwa Informacji (ABI). Mówi o tym zmieniony artykuł 36 ustawy: Administrator danych (czyli dyrektor) może powołać administratora bezpieczeństwa informacji. Do zadań administratora bezpieczeństwa informacji należy:

 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

 a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

 b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

 c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

 Co to oznacza dla placówki? Jeżeli zdecydujemy się na powołanie ABI, nie musimy rejestrować zbiorów danych osobowych w GIODO (znowu za wyjątkiem zbiorów danych szczególnie wrażliwych) - ten obowiązek wykonuje ABI. Administrator Danych Osobowych jest zatrudniony przez jednostkę, musi spełniać określone wymagania ( np. mieć pełnię władz publicznych) i odpowiada w imieniu pracodawcy za wszystkie sprawy związane z bezpieczeństwem danych osobowych. GIODO prowadzi rejestr ABI. Jeżeli zdecydujemy się na powołanie Administratora, pamiętajmy o obowiązku zarejestrowania go w GIODO.  

Rola i waga ABI w obecnej formule jest mocno zmieniona. Do tej pory w placówkach występowali administratorzy bezpieczeństwa, którym dyrektorzy powierzali dodatkowe zadania związane z danymi osobowymi (zastępca dyrektora, sekretarz, informatyk itp.). Czyli pracownicy oprócz swojego głównego zakresu obowiązków wykonywali zadania ABI. Od 15 stycznia jest odwrotnie. Głównym zadaniem ABI jest ochrona danych osobowych a inny zakres obowiązków może być przedzielony dodatkowo.( Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2).Administrator Bezpieczeństwa Informacji podlega bezpośrednio kierownikowi jednostki. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań.

Jak mówiliśmy wcześniej, powołanie ABI zwalnia nas z konieczności rejestracji zbiorów danych osobowych w GIODO. Rolę „rejestratora” przejmuje ABI prowadząc według określonych w ustawie zasad rejestr w placówce. Uwaga: rejestr taki nie jest tożsamy z opisem zbiorów danych osobowych w Polityce Bezpieczeństwa. Wydaje się, że tam gdzie organizacyjnie i finansowo jest to możliwe, powołanie ABI ma sens. W przypadku dużych placówek, zespołów szkół ilość danych osobowych jest spora, zagrożenie nieprawidłowego przetwarzania również. Z jednej strony zdejmuje spory zakres obowiązków z barków dyrektora i zastępców a pracownicy mają wsparcie merytoryczne. Z drugiej strony Generalny Inspektor Danych Osobowych dostaje „w terenie” kogoś na kształt przedstawiciela. Dzięki temu zmniejszyć się powinna ilość kontroli wykonywanych bezpośrednio przez GIODO. Artykuł Art. 19b mówi bowiem o tym, że  Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji o dokonanie sprawdzenia, wskazując zakres i termin sprawdzenia. Jednym słowem na polecenie GIODO administrator wykonuje wewnętrzną kontrolę, a o jej wynikach informuje GIODO przedstawiając sprawozdanie ze sprawdzenia. To spore ułatwienie dla jednostek i dyrektora i GIODO przy okazji. Pamiętajmy, że sprawdzanie prawidłowości przetwarzania danych osobowych przez ABI nie wyłączyło prawa Generalnego Inspektora do przeprowadzenia kontroli. Z pewnością jednak tam, gdzie powołany został ABI nie będzie ona zbyt częsta.

 Powoływać Administratora Bezpieczeństwa Informacji, czy nie? Na pewno warto pod warunkiem, że mamy na to pieniądze. Osobną kwestią jest oczywiście znalezienie odpowiedniej osoby. Nie spodziewajmy się masowego zatrudnienia ABI w przedszkolach, które i bez tego często borykają się z przyciasnym budżetem. Większe szkoły, czy zespoły na pewno powinny jednak rozważyć taką ewentualność. Poniesione nakłady na etat, lub jego cześć zwrócą się szybko w postaci prawidłowo realizowanych obowiązków związanych z przetwarzaniem danych osobowych.

 Piotr Gabrysz

Nasi Partnerzy