Na łamach cyklicznie udostępnianej w formie newslettera publikacji „RODO – rewolucja czy ewolucja…?” będziemy przybliżać Państwu zagadnienia z zakresu administrowania danymi osobowymi, bezpieczeństwa ich przetwarzania i ochrony tak, by 25 maja 2018 r. nowe zasady ochrony danych osobowych nie budziły żadnych wątpliwości. 

W niniejszej publikacji zostaną omówione podstawowe zadania i obowiązki Administratora Danych.

Administrator Danych według RODO (art. 4 pkt.7) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Zadania Uniwersytetu Jagiellońskiego jako Administratora Danych

Uniwersytet w zakresie dotyczącym ochrony danych osobowych reprezentowany jest przez Rektora. Zgodnie z RODO, Uniwersytet zobowiązany jest do:

• powołania inspektora ochrony danych (jako podmiot publiczny – jednostka sektora finansów publicznych),
• wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie danych odbywało się zgodnie z RODO i aby móc to wykazać. Zastosowane środki powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Środki te również powinny być poddawane analizie, przeglądom i powinny być uaktualniane,
• wdrożenia odpowiednich polityk ochrony danych, jeżeli jest to proporcjonalne
  w stosunku do czynności przetwarzania,
• prowadzenia rejestru czynności przetwarzania danych,
• prowadzenia rejestru kategorii czynności przetwarzania.

W celu wzmocnienia ochrony danych osobowych Uniwersytet, jako Administrator Danych może wdrożyć i stosować zatwierdzone kodeksy postępowania lub zatwierdzone mechanizmy certyfikacji, o których mowa w art. 42 RODO. Stosowanie takich rozwiązań może być traktowane jako przesłanka stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Rejestr czynności przetwarzania danych osobowych

Jednym z obowiązków ciążących na Administratorze Danych jest prowadzenie rejestru czynności przetwarzania danych osobowych.

Rejestr czynności przetwarzania danych osobowych powinien zawierać między innymi:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
• cele przetwarzania,

• opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
• jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych,
• jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr kategorii czynności przetwarzania

Każdy podmiot przetwarzający dane osobowe w cudzym imieniu i na cudzą rzecz oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego, prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Uniwersytet Jagielloński, niezależnie od tego, że jest Administratorem Danych, z racji zawartych z innymi podmiotami umów powierzenia jest także podmiotem przetwarzającym i zobowiązany jest prowadzić taki  rejestr.

Rejestr kategorii czynności przetwarzania powinien zawierać następujące informacje:

• imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
• kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
• gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
• jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Zarówno rejestr czynności przetwarzania, jak i rejestr kategorii czynności przetwarzania, prowadzi się obowiązkowo, jeżeli administrator lub podmiot przetwarzający zatrudnia powyżej 250 osób, lub jeżeli przetwarzanie danych osobowych odbywa się regularnie (tj. nie sporadycznie), gdy przetwarzanie obejmuje dane wrażliwe lub może stanowić zagrożenie dla praw i wolności osób, których dane dotyczą.

Oba te rejestry mogą być prowadzone w wersji elektronicznej lub papierowej.

Privacy by default, privacy by design - uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

Jednym z obowiązków Administratora Danych jest uwzględnienie ochrony danych osobowych w fazie projektowania oraz domyślnej ochrony danych. W związku z powyższym administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu. Ponadto administrator między innymi wdrażając nowy system informatyczny wbudowuje w niego ochronę danych osobowych już w fazie projektowania, stosuje takie środki jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych.

1. Czy wiesz, jakie są podstawowe zadania i obowiązki Administratora Danych?
2. Czy wiesz, co to jest rejestr czynności przetwarzania danych osobowych i jakie powinien zawierać informacje?