Nałożenie przez Prezesa Urzędu Ochrony danych Osobowych kary finansowej w wysokości 50 tyś. zł na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie niesie za sobą cały szereg wniosków, które mogą pomóc administratorom danych w sprostaniu w przyszłości wymogom stawianym przez RODO. Decyzja zawiera mnóstwo informacji, które powinni wziąć pod uwagę zarówno administratorzy danych, jak i osoby pełniące funkcję inspektorów ochrony danych. Dotyczą one m.in. kwestii związanych z zarządzaniem ryzykiem w ochronie danych osobowych oraz jego rolą w zapewnieniu zgodności z wymaganiami RODO, zakresu odpowiedzialności inspektora ochrony danych, doboru środków technicznych i organizacyjnych służących zabezpieczeniu danych przetwarzanych w firmie, relacji na linii administrator – IOD, czy zakresu odpowiedzialności inspektorów.
Budowa systemu ochrony danych jako zagadnienie kluczowe
W ocenie Urzędu Ochrony Danych Osobowych SGGW nie dokonała oceny skuteczności środków technicznych i organizacyjnych służących zabezpieczeniu danych osobowych oraz przy wykorzystaniu systemu informatycznego, w ramach którego przetwarzane są dane kandydatów na studia, nie uwzględniona została zasada rozliczalności danych. Ponadto, Urząd wskazał, że niewystarczające jest formalnie przyjęcie procedur w organizacji, ale także muszą być one stosowane. Sytuacja, w której brak jest stosowania postanowień przyjętych procedur prowadzi do powstania niezgodności z rozporządzeniem 2016/679.
Weryfikacji poddana została również przeprowadzona przez administratora analiza ryzyka. W ocenie organu budzi ona wątpliwości co do prawidłowości jej sporządzenia (rzetelności informacji w niej zawartych). Dodatkowo analiza nie zawiera metody jej przeprowadzenia. Analiza przyjętej przez Uczelnię metody oceny ryzyka wskazuje, że dokument ten stanowi schemat będący dopiero podstawą do wdrożenia w organizacji właściwej metody analizy ryzyka.
Jak podkreślił urząd, wyznaczenie inspektora ochrony danych nie zwalnia administratora z odpowiedzialności organizacji systemu ochrony danych osobowych. Pojawiające się zmiany prawne i organizacyjne, wpływające na procesy przetwarzania danych osobowych, są okolicznościami, na które w sposób szczególny administrator powinien zwracać uwagę w procesie budowania systemu ochrony danych. Istotne zmiany w tym zakresie należy poprzedzić stosowną analizą, gdyż kontekst przetwarzania jest jednym z czynników, które administrator ma obowiązek w tym procesie uwzględniać.
Monitorowanie filarem kontroli
Kolejnym z uchybień wskazanym przez organ nadzoru był brak wdrożenia mechanizmów w zakresie monitorowania, weryfikacji i kontroli nad sposobem i terminem przetwarzania danych osobowych kandydatów na studia. Umożliwiło to tym samym wykorzystanie przez jednego z pracowników uczelni sprzętu prywatnego, pobieranie oraz wynoszenie poza teren uczelni danych kandydatów. Działania te stały w sprzeczności z przyjętymi w organizacji procedurami oraz zakresem upoważnienia pracownika.
Niekompletna wiedza administratora na temat przepływu danych oraz jego kontrola to efekt braku adekwatnego monitorowania polityk oraz powiązanych z nimi dokumentami oraz przeprowadzania audytów jednostek organizacyjnych uczelni. Argumentacja urzędu jasno wskazuje na monitorowanie jako filar kontroli administratora nad danymi osobowymi przetwarzanymi w organizacji.
Dobór zabezpieczeń zależy od oceny ryzyka
W toku przeprowadzonej kontroli organ stwierdził, że uczelnia nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych czy zasady ograniczenia przechowywania danych, wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu SOK szerokiego zakresu kategorii danych osobowych na nośnik zewnętrzny.
Działania administratora objęły jedynie wdrożenie środków takich jak polityki i procedury bez przeprowadzenia przeglądu, nadzorowania zasad określonych w tych dokumentach i w razie potrzeby dostosowywania środków organizacyjnych i technicznych do zidentyfikowanych zagrożeń i niezgodności. Jest to niewystarczające w kontekście zapewniania odpowiedniego bezpieczeństwa danych osobowych w organizacji.
Audyt procesem wieloetapowym
Zgodnie ze stanowiskiem urzędu nie można uznać, że SGGW przeprowadziło audyty związane z operacjami przetwarzania w sposób kompleksowy. O powyższym świadczy m.in. brak dowodów na sporządzanie raportów z kontroli przestrzegania przepisów o ochronie danych, w szczególności w Biurze Spraw Studenckich i Uczelnianej Komisji Rekrutacyjnej, które jako obowiązkowe zostały określone w pkt 3 załącznika nr 7 do Polityki Bezpieczeństwa zatytułowanego „Zakres obowiązków w odniesieniu do ochrony danych osobowych”. Zwrócić uwagę należy także, że sam inspektor ochrony danych w swoich wyjaśnieniach potwierdził, że nie przeprowadzał audytów ani analizy ryzyka.
Jak podkreślił organ nadzoru – kontrola przestrzegania przepisów o ochronie danych oraz procedur zawartych w politykach, w tym prowadzenie audytów związanych z operacjami przetwarzania jest działaniem kilkuetapowym, które obejmuje zbieranie informacji, analizowanie i sprawdzanie zgodności przetwarzania, informowanie, doradzanie i rekomendowanie określonych rozwiązań.
W związku z tym po pierwsze, istotnym jest zbieranie informacji o podmiocie i stosowanych w nim procesach przetwarzania danych, w tym identyfikacja czynności przetwarzania danych, ustalenie aktywów wykorzystywanych do przetwarzania danych, tj. systemów informatycznych, dokumentów, nośników danych i ustalenie zakresów danych, które są przetwarzane wraz z ich kategoryzacją.
Po drugie istotnym jest analiza i ocena czynności przetwarzania w zakresie zgodności z przepisami rozporządzenia 2016/679 zarówno pod względem formalnoprawnym, jak i zgodności systemów informatycznych.
Po trzecie zasadnym jest opracowanie raportu i rekomendacji. Raport z przeprowadzonego audytu stanowi podstawę wdrożenia procedur określonych w rozporządzeniu 2016/679.
Linia urzędu w sposób transparenty opisuje proces przeprowadzania audytów zgodności, co stanowi użyteczną instrukcję dla administratorów danych.
Rola Inspektora Ochrony Danych
Istotnym uchybieniem odnotowanym przez Urząd Ochrony Danych było niezastosowanie się uczelni do art. 38 rozporządzenia 2016/679. Nakłada na administratora bezwzględny obowiązek właściwego i niezwłocznego włączania inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. Inspektor ochrony danych powinien być angażowany w proces decyzyjny obejmujący procesy przetwarzania danych osobowych poprzez zapewnienie mu możliwości wyrażenia stanowiska w kontekście przyjmowanych rozwiązań technicznych, organizacyjnych i prawnych.
Brak uwzględnienia udziału IOD w powyższe procesy stanowi odejście od koncepcji ochrony danych w fazie projektowania (art. 25 ust. 1 rozporządzenia 2016/679). Zobowiązuje ona administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych – zarówno przy określaniu sposobu przetwarzania, jak i w czasie samego przetwarzania. Takie stanowisko organu ilustruje jak istotną rolę w tworzeniu systemu ochrony danych osobowych posiada IOD.
Źródło:
https://uodo.gov.pl/pl/138/1711
