photo
02.08.2018

Szkolenie dla ABI z przedszkoli, 24 kwietnia 2018 r.

Zorganizowane przez Generalnego Inspektora Ochrony Danych Osobowych szkolenie dla ABI z przedszkoli dowiodło, że placówki te, dostosowując się do RODO, muszą zmienić niektóre swoje dotychczasowe praktyki, zwłaszcza te dotyczące pozyskiwania zgód na przetwarzanie danych osobowych.

„Nowa rola administratorów bezpieczeństwa informacji w przedszkolach w świetle krajowych i unijnych przepisów o ochronie danych osobowych” to temat szkolenia zorganizowanego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dla administratorów bezpieczeństwa informacji (ABI) - przyszłych inspektorów ochrony danych z przedszkoli. Odbyło się ono 24 kwietnia 2018 r. w Warszawie, a jego celem było przygotowanie osób pełniących tę funkcję do właściwego stosowania ogólnego rozporządzenia o ochronie danych (RODO).

Stanowiło okazję do omówienia tych zagadnień, na które przyszli inspektorzy ochrony danych z tego sektora będą musieli zwrócić szczególną uwagę, tym bardziej że RODO duży nacisk kładzie na ochronę danych osobowych dzieci.

Przedszkola przetwarzają wiele danych osobowych dotyczących najmłodszych, np. ich imiona i nazwiska, datę i miejsce urodzenia, adres zamieszkania. Ponadto rodzice niejednokrotnie przekazują tym placówkom wiele innych, często wrażliwych danych dotyczących ich dzieci, takich jak informacje o: alergiach, chorobach, przyjmowanych lekach czy dotyczące religii bądź orzeczeń sądowych dotyczących pieczy nad dzieckiem. Dlatego właściwa ochrona danych osobowych przez przedszkola jest tak ważna – powiedział Mirosław Sanek, zastępca GIODO, otwierając szkolenie. Dodał, że przedszkola przetwarzają również dane rodziców, dziadków czy rodzeństwa bądź innych osób uprawnionych do odbioru dziecka z placówki.

Zwrócił też uwagę na istniejące nieprawidłowości. Jako przykład podał upublicznianie na drzwiach wejściowych do przedszkoli listy z danymi osobowymi dzieci przyjętych do placówki. Zaznaczył, że taka praktyka prowadzi do udostępnienia danych osobom nieupoważnionym.

Podstawowe zasady i obowiązki

Pierwsza część szkolenia, prowadzona przez Krzysztofa Króla z Departamentu Orzecznictwa Legislacji i Skarg w Biurze GIODO, poświęcona była przybliżeniu idei, jakie przyświecały przyjęciu RODO, a także omówieniu podstawowych zasad i pojęć określonych w tym akcie prawnym, takich jak np.: podejście oparte na ryzyku, ocena skutków dla ochrony danych, minimalizacja danych czy zasada rozliczalności.

Jak powinien być realizowany obowiązek zgłaszania naruszeń danych do organu nadzorczego, to kolejny podjęty przez niego temat.

Administrator danych ma na to 72 godziny liczone od wykrycia naruszenia, a nie od momentu, w którym to naruszenie miało miejsce – podkreślił. Dodał, że administrator danych sam musi ocenić, czy w związku zaistniałym incydentem, powinien o nim powiadomić także osoby, których dane są przetwarzane. Niemniej przed organem nadzorczym musi być w stanie uzasadnić, dlaczego podjął taką a nie inną decyzję.

Pozyskiwanie zgód do analizy

Zainteresowanie uczestników szkolenia wzbudziła kwestia zgód na przetwarzanie danych, które często są przez przedszkola zbierane w związku z publikacją zdjęć dzieci na stronach internetowych czy odbiorem dzieci z placówki przez dziadków bądź inne upoważnione osoby, które w związku z tym wyrażają zgodę na przetwarzanie ich danych.

Krzysztof Król, analizując ten problem, wskazał, że niektóre placówki, które np. pozyskują ogólną zgodę na wykorzystywanie wizerunku dziecka, muszą zmienić swoją dotychczasową praktykę i w sposób bardziej precyzyjny sformułować treść klauzuli zgody w tej sprawie.

Zagadnienie to kontynuowała w dalszej części szkolenia Jowita Sobczak, członek Komisji Ekspertów ds. reformy prawa ochrony danych osobowych w Unii Europejskiej powołanej przez GIODO. Podkreśliła, że każda zgoda musi dotyczyć tylko jednego celu przetwarzania danych osobowych. – Zgody na przetwarzanie danych nie można zawierać w umowie. Powinna być ona odrębnym dokumentem – dodała.

Rola i status IOD

Zagadnienia dotyczące roli, zadań i statusu przyszłych inspektorów ochrony danych (IOD), których będą musiały wyznaczyć publiczne placówki, przybliżyła uczestnikom szkolenia Monika Młotkiewicz, zastępca dyrektora Departamentu Rejestracji ABI i Zbiorów Danych Osobowych w Biurze GIODO. Przypomniała, że rolą IOD jest zapewnienie fachowego wsparcia administratorom danych oraz monitorowanie przestrzegania przepisów o ochronie danych.

Inspektor ochrony danych ma być też osobą, do której pracownicy zwracają się, gdy mają problem związany z ochroną danych – podkreśliła.

Zmiana podejścia do zabezpieczania danych

Z kolei Andrzej Kaczmarek, dyrektor Departamentu Informatyki w Biurze GIODO omówił, jak w związku z RODO zmieni się podejście w zakresie bezpieczeństwa danych osobowych.

RODO zwiększa odpowiedzialność administratorów danych za bezpieczeństwo danych, dając im jednocześnie większą samodzielność i elastyczność w tym zakresie . Sami muszą oni dokonać analizy ryzyka i w zależności od jej wyników zastosować odpowiednie zabezpieczenia – zaznaczył. – Jeżeli w wyniku analizy dochodzimy do wniosku, że ryzyko naruszenia danych jest duże i widzimy słabość naszych systemów, to wówczas należy się zastanowić, co jeszcze należałoby zrobić, by zwiększyć poziom bezpieczeństwa danych – dodał.

Podmiot udostępniający: Zespół Współpracy Międzynarodowej i Edukacji
Wytworzył informację:
user Urszula Góral
date 2018-08-02
Wprowadził informację:
user Kacper Sokołowski
date 2018-08-02 11:08:52
Ostatnio modyfikował:
user Kacper Sokołowski
date 2018-08-02 12:05:20

Materiały do pobrania

Pobierz plik Program szkolenia
Podmiot udostępniający: Zespół Współpracy Międzynarodowej i Edukacji
Wytworzył informację:
user Urszula Góral
date 2018-08-02 12:02:05
Wprowadził informację:
user Kacper Sokołowski
date 2018-08-02 12:02:05

Galeria zdjęć

Zdjęcie Zdjęcie Zdjęcie Zdjęcie