GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
19 czerwca 2019

18 czerwca 2019 r. w Warszawie odbyło się szkolenie  „Zmiany  w  ochronie  danych  osobowych  w  świetle RODO i  ustawy  z  dnia  10  maja  2018  r.  o  ochronie danych osobowych”

18 czerwca 2019 r. w Warszawie odbyło się szkolenie  „Zmiany  w  ochronie  danych  osobowych  w  świetle RODO i  ustawy  z  dnia  10  maja  2018  r.  o  ochronie danych osobowych”

Spotkanie poprowadzili Krzysztof Król z Zespołu Analiz i Strategii Urzędu Ochrony Danych Osobowych, a także Michał Mazur, Zastępca Dyrektora Zespołu Współpracy z Administratorami Danych.

  1. Zmiany w prawie

Pierwsza część szkolenia poświęcona była wybranym zmianom dotyczącym działalności samorządu terytorialnego w związku z RODO, problematyce danych osobowych pracowników w jednostkach samorządu terytorialnego, a także udostępnianiu informacji publicznej w kontekście ochrony danych.

Prelegent przedstawił strukturę i zadania Urzędu, stan prac nad („zatwierdzanymi”) kodeksami postępowania oraz publikacjami urzędu (newsletter dla IOD, poradnik dla szkół). Uczestnicy mogli także zapoznać się z rysem historycznym prac nad ustawą sektorową (z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO).

Na uwagę zasługuje wyraźne wskazanie, iż w przypadku funkcjonowania kilku administratorów w ramach jednej struktury organizacyjnej (np. urzędu), konieczne jest prowadzenie przez każdego z nich odrębnej dokumentacji, co nie wyklucza powielania poszczególnych rozwiązań przez wszystkich lub tylko część z nich.

W zakresie zmian w kodeksie postępowania administracyjnego uwagę zwrócono na problematykę spełniania obowiązków informacyjnych (również w sposób warstwowy).

Poruszono także kwestię upoważnień, których mimo określenia często przez ustawodawcę mianem „pisemnych” (vide: zmiany w kodeksie pracy, ustawie o Zakładowym Funduszu Świadczeń Socjalnych), Urząd wymaga jedynie w formie zapewniającej rozliczalność, w tym w formie elektronicznej.

Omawiając zmiany w kodeksie pracy przedstawiciel UODO wskazał na możliwość pozyskiwania za zgodą pracowników również danych biometrycznych (przy zachowaniu zasad ogólnych RODO i wymagań wynikających z kodeksu pracy)  np. przy wejściu do budynku.

Przy okazji tematu zmian w ustawie o ZFŚS zwrócono uwagę, iż nie jest wymagane odrębne upoważnienie, jeśli do przetwarzania danych wrażliwych pracownik jest uprawniony już w związku ze swoimi głównymi zadaniami (np. pracownika kadr).

Ustawa o dostępie do informacji publicznej stała się przyczynkiem do podkreślenia, iż to sądy weryfikują, czy dany podmiot słusznie udostępnił daną informację (albo odmówił takiego udostępnienia). UODO może jedynie wskazać, iż konkretna informacje stanowią dane osobowe. Sama zaś dokumentacja z zakresu ochrony danych osobowych (polityki, procedury) nie stanowi informacji publicznej, co więcej – jej upublicznianie może być przeciwskuteczne.

Jednocześnie udostępniając nagrania z sesji rady gminy, należy spełnić obowiązek informacyjny wobec uczestników , np. przy wejściu do Sali obrad i pamiętać, iż retencja – ograniczenie okresu przetwarzania, dotyczy także danych udostępnianych w BIP.

  1. Ryzyko, bezpieczeństwo, naruszenia

W drugiej części słuchaczy zapoznano z problematyką nowego  podejścia do  stosowania  przepisów  określających wymogi w zakresie bezpieczeństwa danych osobowych, analizy ryzyka oraz oceny   skutków dla ochrony danych osobowych.

Michał Mazur przedstawił kwestie związane z pojęciem ryzyka w kontekście norm ISO, wytycznych Grupy Roboczej art. 29, a także treści motywów RODO. Podkreślono potrzebę dostosowywania poziomu bezpieczeństwa danych osobowych do ryzyka naruszenia praw i wolności osób fizycznych. Zaprezentowano elementy analizy ryzyka a także oceny skutków dla ochrony danych (DPIA). Reprezentant Urzędu podkreślił, iż w przypadku wątpliwości co do konieczności przeprowadzenia DIPA, dobrą praktyką jest zdecydowanie się na taki krok, stanowiący użyteczne narzędzie zapewnienia zgodności z RODO.

W zakresie oceny naruszeń uwagę zwrócono na element stosowania odpowiedniej metodyki, ale i zdroworozsądkowego podejścia oraz stosownych kryteriów oceny. Przedstawiono źródła zagrożeń oraz najczęstsze błędy popełniane przez pracowników (zapisywanie danych na nieszyfrowanych nośnikach, wyrzucanie dokumentów do kosza na śmieci, przesyłanie danych do nieprawidłowego adresata, ujawnienie w korespondencji elektronicznej adresów wszystkich odbiorców).

W wystąpieniu pojawił się także wątek naruszenia poufności danych w zakresie PESEL-u, imienia i nazwiska – co Urząd utożsamia z zasady z wysokim ryzykiem. Podkreślono ponadto, iż odpowiednie postanowienia usprawniające zgłaszanie naruszeń i pozyskiwanie informacji od podmiotu przetwarzającego powinny znaleźć się w umowie powierzenia.

Szkolenie jest wspólną inicjatywą Narodowego Instytut Samorządu Terytorialnego oraz Urzędu Ochrony Danych Osobowych w ramach międzynarodowego projektu T4DATA.

Całość nagrania dostępna jest na: https://www.youtube.com/watch?v=fjR8uxo866s

Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies