OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH.

Tomasz Paprocki, Abifusion24.pl http://abifusion24.pl.

Spotkanie poświęcone nowej ustawie, dotyczącej placówek publicznych (niepubliczne będą bezpośrednio podlegały RODO) rozpoczęło się przedstawienia zebranym dyrektorom szkół najważniejszych elementów znajdujących się w Konstytucji RP tj.: każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym.

Tomasz Paprocki – ABI w placówkach edukacyjnych przypomniał, że w maju 2016 roku opublikowany został tekst nowego rozporządzenia tzw. Ogólnego Rozporządzenia o Ochronie Danych Osobowych (w sprawie osób fizycznych). Ważne jego zdaniem jest to, aby zapamiętać, że rozporządzenie rozszerza kwestię ochrony osób fizycznych (a nie podmiotu). Prelegent zwrócił uwagę również, że rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r., odnoszące się do minimalnych wymagań dla systemów teleinformatycznych nadal będzie obowiązywać.

W następnej części spotkania przywołana została definicja Administratora Danych Osobowych – organu, jednostki organizacyjnej, podmiotu lub osoby, decydujących o celach i środkach przetwarzania danych osobowych. Ważne aby zapamiętać, że ADO jest zobowiązany do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Podmiot ten ma również obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony. Ważną kwestią jest także rola informacyjna obecnego Administratora Bezpieczeństwa Informacji – powinien on poinformować o siedzibie, nazwie, celu zbierania danych ale też o prawie dostępu do treści swoich danych oraz ich poprawiania.

Prelegent przedstawił klauzulę obowiązku informacyjnego w przypadku pozyskania danych nie od osoby, której dane dotyczą (np. zamieszczonej w treści umowy z pracownikami), a także poinformował,  jak powinna ona wyglądać, i na podstawie jakich artykułów prawnych należy ją sporządzać. Tomasz Paprocki wymienił najważniejsze błędy popełniane najczęściej przez Administratorów Bezpieczeństwa Informacji.

W kolejnej części spotkania wskazane zostały najważniejsze aspekty związane z zabezpieczeniem systemów informatycznych – uchronieniem się przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. Wskazane zostały także sposoby zabezpieczenia przed utratą danych, spowodowaną awarią zasilania lub zakłóceniem w sieci zasilającej. Zdaniem prelegenta ważnym działaniem jest wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych a także odpowiednie przechowywania kopii zapasowych w miejscach zabezpieczonych i usuwanie kopii niezwłocznie po ustaniu ich użyteczności.

Następnym poruszonym przed przedstawiciela firmy Abifusion24.pl tematem była kwestia definiowania administratora przez RODO oraz zmiany w aspekcie obowiązku informacyjnego, zgodnego z nowym rozporządzeniem wchodzącym 25 maja 2018 r. Tomasz Paprocki pokazał zebranym dyrektorom szkół przykładowe, zgodne z RODO zgody, wykorzystywane w procesie rekrutacyjnym, a także wymienił prawa podmiotów danych tj. prawo do bycia zapomnianym, przenoszenia danych, sprzeciwu, dostępu do danych i uzyskania kopii, niepodlegania profilowaniu.

W ostatniej części spotkania prelegent wspomniał członkom XV konferencji OSKKO o administracyjnych karach pieniężnych obowiązujących od 25 maja 2018 r. Zgodnie z art. 83 RODO kara musi być „skuteczna, proporcjonalna i odstraszająca”, dlatego najwyższa kwota wynosić może nawet 10 – 20 mln euro.  Tomasz Paprocki zakończył spotkanie pozytywnym aspektem i wskazał na kwestie, które zgodnie z nowym rozporządzeniem nie będą stanowiły już obowiązku Administratora Bezpieczeństwa Informacji tj. brak sformalizowanej dokumentacji (polityki, instrukcji, rejestru), brak zgłaszania zbiorów danych osobowych, rejestru zbiorów oraz zmiany haseł do 30 dni.