GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

ICO kontroluje brytyjski Departament Edukacji

Fragment flagi Wielkiej Brytanii pod powiększajacą lupą

ICO kontroluje brytyjski Departament Edukacji

Brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO) poinformował na swojej stronie internetowej, że sporządził raport podsumowujący działania kontrolne przeprowadzone w brytyjskim Departamencie Edukacji (Department for Education – DE), tj. departamencie wchodzącym w skład Gabinetu, który jest odpowiedzialny za sprawy dotyczące ochrony dzieci i edukacji. W dokumencie tym organ nadzorczy wskazał na liczne nieprawidłowości DE w zakresie przestrzegania przepisów o ochronie danych osobowych. Raport zawiera również szereg zaleceń regulatora mających na celu wyeliminowanie wszystkich stwierdzonych naruszeń.

Odpowiedź na liczne sygnały

ICO wszczął postępowanie kontrolne w tej sprawie w lutym br. w związku z otrzymaniem wielu sygnałów wskazujących, że DE nie realizuje swoich obowiązków – jako administratora – wynikających z brytyjskich przepisów krajowych oraz z RODO. Zgłoszone doniesienia dotyczyły możliwych nieprawidłowości w zakresie ochrony danych osobowych w kontekście funkcjonowania Krajowej Bazy Danych Uczniów (National Pupil Database – NPD). Część zgłoszeń zwracało uwagę ICO na fakt, że dane osobowe dzieci znajdujące się w NPD prawdopodobnie były udostępniane brytyjskiemu Ministerstwu Spraw Wewnętrznych.

Wiele nieprawidłowości

W toku postępowania kontrolnego brytyjski organ nadzorczy ustalił, że w DE brak jest procedur zapewniających formalny nadzór nad szeroko pojętym zarządzaniem informacją w organizacji, w tym m.in. zarządzaniem ryzykiem, udostępnianiem i bezpieczeństwem danych osobowych. Jednocześnie, administrator nie posiadał żadnej wewnętrznej dokumentacji (np. polityki prywatności lub innego stosownego dokumentu), co w ocenie ICO skutkowało niemożliwością wykazania przestrzegania wszystkich zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 ust. 1 RODO, a konsekwentnie zasady rozliczalności (art. 5 ust. 2 RODO).

Regulator ustalił, że DE nie opracował i nie wdrożył rejestru czynności przetwarzania danych osobowych, co w sposób bezpośredni naruszyło przepisy RODO. W żaden sposób nie monitorował on również procesów przetwarzania danych osobowych. ICO zakwestionował ponadto skuteczność powołania inspektora ochrony danych oraz poprawność przeprowadzanych ocen skutków dla ochrony danych (DPIA).

W ramach przeprowadzonej kontroli ICO stwierdził również, że pracownicy DE nie byli w odpowiedni sposób szkoleni pod kątem ochrony danych osobowych. Taka okoliczność – w ocenie brytyjskiego organu nadzorczego – miała bezpośredni wpływ na właściwą realizację praw osób, których dane dotyczą.

Zalecenia ICO

W sporządzonym i opublikowanym raporcie, ICO sformułował szereg zaleceń mających na celu usunięcie stwierdzonych nieprawidłowości. Aż 60 % z nich zostało zakwalifikowanych przez organ nadzorczy jako pilne lub priorytetowe.

Z raportu wynika, że w toku prowadzonej kontroli, DE w pełni współpracował z regulatorem i wykazał chęć szybkiego rozwiązania zidentyfikowanych problemów. Administrator zaakceptował wszystkie zalecenia i zobowiązał się wprowadzić niezbędne zmiany.

Organ nadzorczy podkreślił, że będzie monitorować postępy DE w zakresie wdrażania zaleconych rozwiązań. W przypadku nieodpowiedniego zastosowania się do nich, ICO nie wykluczył bardziej stanowczego egzekwowania przepisów o ochronie danych osobowych, co – jak można przypuszczać – nie wyłącza ewentualności ukarania administratora karą pieniężną.

Treść pełnego raportu w j. angielskim:

https://ico.org.uk/media/action-weve-taken/audits-and-advisory-visits/2618384/department-for-education-audit-executive-summary-v1_0.pdf

Źródła:

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/statement-on-the-outcome-of-the-ico-s-compulsory-audit-of-the-department-for-education/