GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Praktyczny wymiar decyzji o nałożeniu kary na SGGW

Udostępnij publikację:

Nałożenie przez Prezesa Urzędu Ochrony danych Osobowych kary finansowej w wysokości 50 tyś. zł na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie niesie za sobą cały szereg wniosków, które mogą pomóc administratorom danych w sprostaniu w przyszłości wymogom stawianym przez RODO. Decyzja zawiera mnóstwo informacji, które powinni wziąć pod uwagę zarówno administratorzy danych, jak i osoby pełniące funkcję inspektorów ochrony danych. Dotyczą one m.in. kwestii związanych z zarządzaniem ryzykiem w ochronie danych osobowych oraz jego rolą w zapewnieniu zgodności z wymaganiami RODO, zakresu odpowiedzialności inspektora ochrony danych, doboru środków technicznych i organizacyjnych służących zabezpieczeniu danych przetwarzanych w firmie, relacji na linii administratorIOD, czy zakresu odpowiedzialności inspektorów.

Praktyczny wymiar decyzji o nałożeniu kary na SGGW

Budowa systemu ochrony danych jako zagadnienie kluczowe 

W ocenie Urzędu Ochrony Danych Osobowych SGGW nie dokonała oceny skuteczności środków technicznych i organizacyjnych służących zabezpieczeniu danych osobowych oraz przy wykorzystaniu systemu informatycznego, w ramach którego przetwarzane są dane kandydatów na studia, nie uwzględniona została zasada rozliczalności danych. Ponadto, Urząd wskazał, że niewystarczające jest formalnie przyjęcie procedur w organizacji, ale także muszą być one stosowane.  Sytuacja, w której brak jest stosowania postanowień przyjętych procedur prowadzi do powstania niezgodności z rozporządzeniem 2016/679.

Weryfikacji poddana została również przeprowadzona przez administratora analiza ryzyka. W ocenie organu budzi ona wątpliwości co do prawidłowości jej sporządzenia (rzetelności informacji w niej zawartych).  Dodatkowo analiza nie zawiera metody jej przeprowadzenia. Analiza przyjętej przez Uczelnię metody oceny ryzyka wskazuje, że dokument ten stanowi schemat będący dopiero podstawą do wdrożenia w organizacji właściwej metody analizy ryzyka.

Jak podkreślił urząd, wyznaczenie inspektora ochrony danych nie zwalnia administratora z odpowiedzialności organizacji systemu ochrony danych osobowych. Pojawiające się zmiany prawne i organizacyjne, wpływające na procesy przetwarzania danych osobowych, są okolicznościami, na które w sposób szczególny administrator powinien zwracać uwagę w procesie budowania systemu ochrony danych. Istotne zmiany w tym zakresie należy poprzedzić stosowną analizą, gdyż kontekst przetwarzania jest jednym z czynników, które administrator ma obowiązek w tym procesie uwzględniać.

Monitorowanie filarem kontroli

Kolejnym z uchybień wskazanym przez organ nadzoru był brak wdrożenia mechanizmów w zakresie monitorowania, weryfikacji i kontroli nad sposobem i terminem przetwarzania danych osobowych kandydatów na studia. Umożliwiło to tym samym wykorzystanie przez jednego z pracowników uczelni sprzętu prywatnego, pobieranie oraz wynoszenie poza teren uczelni danych kandydatów. Działania te stały w sprzeczności z przyjętymi w organizacji procedurami oraz zakresem upoważnienia pracownika.

Niekompletna wiedza administratora na temat przepływu danych oraz jego kontrola to efekt braku adekwatnego monitorowania polityk oraz powiązanych z nimi dokumentami oraz przeprowadzania audytów jednostek organizacyjnych uczelni. Argumentacja urzędu jasno wskazuje na monitorowanie jako filar kontroli administratora nad danymi osobowymi przetwarzanymi w organizacji.

Dobór zabezpieczeń zależy od oceny ryzyka

W toku przeprowadzonej kontroli organ stwierdził, że uczelnia nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych  czy zasady ograniczenia przechowywania danych, wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu SOK szerokiego zakresu kategorii danych osobowych na nośnik zewnętrzny.

Działania administratora objęły jedynie wdrożenie środków takich jak polityki i procedury bez przeprowadzenia przeglądu, nadzorowania zasad określonych w tych dokumentach i w razie potrzeby dostosowywania środków organizacyjnych i technicznych do zidentyfikowanych zagrożeń i niezgodności. Jest to niewystarczające w kontekście zapewniania odpowiedniego bezpieczeństwa danych osobowych w organizacji.

Audyt procesem wieloetapowym

Zgodnie ze stanowiskiem urzędu nie można uznać, że SGGW przeprowadziło audyty związane z operacjami przetwarzania w sposób kompleksowy. O powyższym świadczy m.in. brak dowodów na sporządzanie raportów z kontroli przestrzegania przepisów o ochronie danych, w szczególności w Biurze Spraw Studenckich i Uczelnianej Komisji Rekrutacyjnej, które jako obowiązkowe zostały określone w pkt 3 załącznika nr 7 do Polityki Bezpieczeństwa zatytułowanego „Zakres obowiązków w odniesieniu do ochrony danych osobowych”. Zwrócić uwagę należy także, że sam inspektor ochrony danych w swoich wyjaśnieniach potwierdził, że nie przeprowadzał audytów ani analizy ryzyka.

Jak podkreślił organ nadzoru – kontrola przestrzegania przepisów o ochronie danych oraz procedur zawartych w politykach, w tym prowadzenie audytów związanych z operacjami przetwarzania jest działaniem kilkuetapowym, które obejmuje zbieranie informacji, analizowanie i sprawdzanie zgodności przetwarzania, informowanie, doradzanie i rekomendowanie określonych rozwiązań.

W związku z tym po pierwsze, istotnym jest zbieranie informacji o podmiocie i stosowanych w nim procesach przetwarzania danych, w tym identyfikacja czynności przetwarzania danych, ustalenie aktywów wykorzystywanych do przetwarzania danych, tj. systemów informatycznych, dokumentów, nośników danych i ustalenie zakresów danych, które są przetwarzane wraz z ich kategoryzacją.

Po drugie istotnym jest analiza i ocena czynności przetwarzania w zakresie zgodności z przepisami rozporządzenia 2016/679 zarówno pod względem formalnoprawnym, jak i zgodności systemów informatycznych.

Po trzecie zasadnym jest opracowanie raportu i rekomendacji. Raport z przeprowadzonego audytu stanowi podstawę wdrożenia procedur określonych w rozporządzeniu 2016/679.

Linia urzędu w sposób transparenty opisuje proces przeprowadzania audytów zgodności, co stanowi użyteczną instrukcję dla administratorów danych.

Finał sprawy skradzionego laptopa z SGGW

Rola Inspektora Ochrony Danych

Istotnym uchybieniem odnotowanym przez Urząd Ochrony Danych było niezastosowanie się uczelni do art. 38 rozporządzenia 2016/679. Nakłada na administratora bezwzględny obowiązek właściwego i niezwłocznego włączania inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. Inspektor ochrony danych powinien być angażowany w proces decyzyjny obejmujący procesy przetwarzania danych osobowych poprzez zapewnienie mu możliwości wyrażenia stanowiska w kontekście przyjmowanych rozwiązań technicznych, organizacyjnych i prawnych.

Brak uwzględnienia udziału  IOD w powyższe procesy stanowi odejście od koncepcji ochrony danych w fazie projektowania (art. 25 ust. 1 rozporządzenia 2016/679). Zobowiązuje ona administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych – zarówno przy określaniu sposobu przetwarzania, jak i w czasie samego przetwarzania. Takie stanowisko organu ilustruje jak istotną rolę w tworzeniu systemu ochrony danych osobowych posiada IOD.

Źródło:

https://uodo.gov.pl/pl/138/1711

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies