Brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO) poinformował na swojej stronie internetowej, że sporządził raport podsumowujący działania kontrolne przeprowadzone w brytyjskim Departamencie Edukacji (Department for Education – DE), tj. departamencie wchodzącym w skład Gabinetu, który jest odpowiedzialny za sprawy dotyczące ochrony dzieci i edukacji. W dokumencie tym organ nadzorczy wskazał na liczne nieprawidłowości DE w zakresie przestrzegania przepisów o ochronie danych osobowych. Raport zawiera również szereg zaleceń regulatora mających na celu wyeliminowanie wszystkich stwierdzonych naruszeń.
Odpowiedź na liczne sygnały
ICO wszczął postępowanie kontrolne w tej sprawie w lutym br. w związku z otrzymaniem wielu sygnałów wskazujących, że DE nie realizuje swoich obowiązków – jako administratora – wynikających z brytyjskich przepisów krajowych oraz z RODO. Zgłoszone doniesienia dotyczyły możliwych nieprawidłowości w zakresie ochrony danych osobowych w kontekście funkcjonowania Krajowej Bazy Danych Uczniów (National Pupil Database – NPD). Część zgłoszeń zwracało uwagę ICO na fakt, że dane osobowe dzieci znajdujące się w NPD prawdopodobnie były udostępniane brytyjskiemu Ministerstwu Spraw Wewnętrznych.
Wiele nieprawidłowości
W toku postępowania kontrolnego brytyjski organ nadzorczy ustalił, że w DE brak jest procedur zapewniających formalny nadzór nad szeroko pojętym zarządzaniem informacją w organizacji, w tym m.in. zarządzaniem ryzykiem, udostępnianiem i bezpieczeństwem danych osobowych. Jednocześnie, administrator nie posiadał żadnej wewnętrznej dokumentacji (np. polityki prywatności lub innego stosownego dokumentu), co w ocenie ICO skutkowało niemożliwością wykazania przestrzegania wszystkich zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 ust. 1 RODO, a konsekwentnie zasady rozliczalności (art. 5 ust. 2 RODO).
Regulator ustalił, że DE nie opracował i nie wdrożył rejestru czynności przetwarzania danych osobowych, co w sposób bezpośredni naruszyło przepisy RODO. W żaden sposób nie monitorował on również procesów przetwarzania danych osobowych. ICO zakwestionował ponadto skuteczność powołania inspektora ochrony danych oraz poprawność przeprowadzanych ocen skutków dla ochrony danych (DPIA).
W ramach przeprowadzonej kontroli ICO stwierdził również, że pracownicy DE nie byli w odpowiedni sposób szkoleni pod kątem ochrony danych osobowych. Taka okoliczność – w ocenie brytyjskiego organu nadzorczego – miała bezpośredni wpływ na właściwą realizację praw osób, których dane dotyczą.
Zalecenia ICO
W sporządzonym i opublikowanym raporcie, ICO sformułował szereg zaleceń mających na celu usunięcie stwierdzonych nieprawidłowości. Aż 60 % z nich zostało zakwalifikowanych przez organ nadzorczy jako pilne lub priorytetowe.
Z raportu wynika, że w toku prowadzonej kontroli, DE w pełni współpracował z regulatorem i wykazał chęć szybkiego rozwiązania zidentyfikowanych problemów. Administrator zaakceptował wszystkie zalecenia i zobowiązał się wprowadzić niezbędne zmiany.
Organ nadzorczy podkreślił, że będzie monitorować postępy DE w zakresie wdrażania zaleconych rozwiązań. W przypadku nieodpowiedniego zastosowania się do nich, ICO nie wykluczył bardziej stanowczego egzekwowania przepisów o ochronie danych osobowych, co – jak można przypuszczać – nie wyłącza ewentualności ukarania administratora karą pieniężną.
Treść pełnego raportu w j. angielskim:
Źródła: