Niniejszy artykuł rozpoczyna cykl gościnnych wpisów na naszym blogu.

Autorem pierwszego gościnnego posta  jest Kancelaria Prawnicza Lex Artist  (www: lex-artist.pl, blog: blog-daneosobowe.pl).

logoKancelaria Lex Artist specjalizuje się kwestiach związanych z ochroną danych osobowych. Od lat temat ten jest dla każdej szkoły dość drażliwy i delikatny, a wiele szkół nie wie nawet, jak rozpocząć wdrażanie prawidłowych procedur. Wierzymy, że ten wpis odpowie na wiele pytań, a temat ochrony danych osobowych stanie się dla Państwa mniej problematyczny.

Kontrola jest to „ogół czynności zmierzających do porównania stanu faktycznego ze stanem postulowanym”. W przypadku szkół językowych, kontrola GIODO polega na zweryfikowaniu faktycznej działalności placówki pod kątem realizacji przepisów ustawy o ochronie danych osobowych (dalej: uodo).

Oczywiście kontrola GIODO może odbyć się tylko i wyłącznie na mocy ściśle określonych zasad. Podstawą do przeprowadzania kontroli w szkołach językowych jest art. 12 pkt 1) uodo, stanowiący, że „do zadań Generalnego Inspektora w szczególności należy: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych”. Inne artykuły ustawy zawierają szczegółowy opis zasad przeprowadzania kontroli.

Co do zasady, kontrole GIODO są zapowiadane z co najmniej tygodniowym wyprzedzeniem, za pomocą faksu, telefonu lub poczty. Nie jest to jednak obowiązek nałożony przepisami prawa, a jedynie przyjęta i realizowana przez urząd z konsekwencją praktyka.

Kontrole przeprowadzane są przeważnie przez dwóch Inspektorów – jednego prawnika oraz informatyka. Inspektorzy mają prawo:

  • wstępu, w godzinach od 06.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem i przeprowadzenia niezbędnych badań i innych czynności kontrolnych
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego
  • wglądu do wszelkich dokumentów oraz sporządzania ich kopii
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych
  • zlecać sporządzanie ekspertyz i opinii

Każda czynność dokonywana przez Inspektorów powinna zostać potwierdzona protokołem. Protokoły takie stanowią załączniki do Zbiorczego Protokołu Kontroli którego kopia powinna zostać dostarczona kontrolowanemu. Może on wnosić w tej materii zastrzeżenia i uwagi, ma też prawo do odmowy podpisania protokołu i w ciągu 7 dni przedstawić GIODO swoje stanowisko.

Co zostanie sprawdzone podczas kontroli GIODO?

W szczególności będzie to:

  • Legalność przetwarzania danych osobowych. Szkoła językowa musi wykazać się co najmniej jedną przesłanką legalności dla każdego zbioru danych osobowych. Może to być np. zgoda, przepis prawa, czy realizacja umowy. Jeśli za przesłankę zostanie wskazana zgoda na przetwarzanie danych osobowych, to należy Inspektorowi okazać udokumentowane przykłady takich zgód.
  • Adekwatność przetwarzania danych osobowych. Zakres (tzn. szczegółowość) zbieranych danych musi być adekwatny do celu ich zbierania. Niewłaściwe będzie np. zbieranie bardzo szczegółowych danych osobowych (imię, nazwisko, PESEL) dla osiągnięcia tak prozaicznego celu, jak wysyłka Newslettera.
  • Wymagana ustawą dokumentacja. Szkoła językowa ma obowiązek opracować: Politykę Bezpieczeństwa, Instrukcję Zarządzania Systemami Informatycznymi oraz Upoważnienia do przetwarzania danych osobowych i Ewidencję Upoważnień.
  • Realizacja obowiązku informacyjnego. Zawsze, jeżeli szkoła językowa zbiera od kogoś dane osobowe, musi poinformować m.in. o celu zbierania tych danych i o tym kto jest ich administratorem.
  • Rejestracja zbiorów danych. Szkoła językowa jest zobligowana do zarejestrowania wszystkich przetwarzanych w placówce zbiorów danych do GIODO. Pewne wyjątki od tej zasady są opisane w art. 43 uodo.
  • Zabezpieczenia organizacyjne. Szkoła językowa powinna przeszkolić pracowników przetwarzających dane osobowe, wyznaczyć Administratora Bezpieczeństwa Informacji (ABI), stworzyć odpowiednie procedury bezpieczeństwa.
  • Legalność przekazywania danych osobowych zewnętrznym podmiotom. W takich przypadkach szkoły językowe mają obowiązek podpisywać tzw. umowy powierzenia. Podczas kontroli również będą one sprawdzane: zarówno ich forma, jak i treść.
  • Zabezpieczenie fizyczne przetwarzanych danych osobowych. Szkoła językowa powinna zastosować środki ochrony fizycznej (np. szafa zamykana na klucz, rolety antywłamaniowe, monitoring), które zabezpieczą przetwarzane dane osobowe przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, utratą, uszkodzeniem, lub zniszczeniem.
  • Zabezpieczenia techniczne jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Szkoła językowa powinna stosować takie zabezpieczenia, aby spełnić minimalne wymogi przewidziane przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Najczęstsze uchybienia wykrywane podczas kontroli GIODO w szkołach językowych:

  • zabieranie przez pracowników szkół do domu (a więc poza obszar przetwarzania danych osobowych) sprawdzianów czy dzienników zawierających dane osobowe kursantów
  • przekazywanie przez telefon danych osobom niezweryfikowanym odbiorcom
  • brak dokumentacji z zakresu ochrony danych osobowych: Polityce bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi
  • nienadawanie upoważnień pracownikom, których praca bezpośrednio związane jest z przetwarzaniem danych osobowych.
  • zapomina się o wyznaczeniu Administratora Bezpieczeństwa Informacji
  • w kwestii zabezpieczenia systemów informatycznych:  niezmieniane od lat hasła dostępu, jedno konto w systemie z którego korzysta wielu użytkowników, brak kopii zapasowych czy chociażby nieaktualne oprogramowanie antywirusowe.

Jak widzą Państwo, obowiązków, które ustawa o ochronie danych osobowych nakłada na szkoły językowe jest dość dużo. Ważne aby do kontroli odpowiednio się przygotować. Nie należy tych przygotowań odkładać na ostatnią chwilę, ponieważ zbudowanie sprawnego i bezpiecznego systemu ochrony danych osobowych to kwestia tygodni, a nie dni. Jeśli właściciel szkoły językowej nie jest w stanie samodzielnie wdrożyć wszystkich opisanych zaleceń, zawsze może skorzystać z pomocy jednego z podmiotów specjalizujących się w ochronie danych osobowych.