ICO kontroluje brytyjski Departament Edukacji

Odpowiedź na liczne sygnały

ICO wszczął postępowanie kontrolne w tej sprawie w lutym br. w związku z otrzymaniem wielu sygnałów wskazujących, że DE nie realizuje swoich obowiązków – jako administratora – wynikających z brytyjskich przepisów krajowych oraz z RODO. Zgłoszone doniesienia dotyczyły możliwych nieprawidłowości w zakresie ochrony danych osobowych w kontekście funkcjonowania Krajowej Bazy Danych Uczniów (National Pupil Database - NPD). Część zgłoszeń zwracało uwagę ICO na fakt, że dane osobowe dzieci znajdujące się w NPD prawdopodobnie były udostępniane brytyjskiemu Ministerstwu Spraw Wewnętrznych.

Wiele nieprawidłowości

W toku postępowania kontrolnego brytyjski organ nadzorczy ustalił, że w DE brak jest procedur zapewniających formalny nadzór nad szeroko pojętym zarządzaniem informacją w organizacji, w tym m.in. zarządzaniem ryzykiem, udostępnianiem i bezpieczeństwem danych osobowych. Jednocześnie, administrator nie posiadał żadnej wewnętrznej dokumentacji (np. polityki prywatności lub innego stosownego dokumentu), co w ocenie ICO skutkowało niemożliwością wykazania przestrzegania wszystkich zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 ust. 1 RODO,
a konsekwentnie zasady rozliczalności (art. 5 ust. 2 RODO).

Regulator ustalił, że DE nie opracował i nie wdrożył rejestru czynności przetwarzania danych osobowych, co w sposób bezpośredni naruszyło przepisy RODO. W żaden sposób nie monitorował on również procesów przetwarzania danych osobowych. ICO zakwestionował ponadto skuteczność powołania inspektora ochrony danych oraz poprawność przeprowadzanych ocen skutków dla ochrony danych (DPIA).

Zgodnie ze stanowiskiem organu oceny skutków nie zostały wykonane przed rozpoczęciem przetwarzania danych lub wystarczająco wcześnie, by móc wpłynąć na wynik. Dla niektórych procesów, które powinny zostać objęte DPIA, nie została ona przeprowadzona.

Dodatkowo, zespół, w którego kompetencji leży ochrona prywatności ( The Privacy Assurance Team) nie posiadał kompletnych informacji, co skutkowało brakiem informacji dot. szczegółowych poziomów ryzyka dla konkretnych czynności przetwarzania.

Wątpliwości organu wzbudził również wyznaczony inspektor ochrony danych. Zgodnie z treścią raportu nie spełnia on wymagań wynikających z art. 37-39 RODO.

Świadomość jest kluczem

W ramach przeprowadzonej kontroli ICO stwierdził również, że pracownicy DE nie byli w odpowiedni sposób szkoleni pod kątem ochrony danych osobowych, zarządzania ryzykiem, udostępniania danych, czy bezpieczeństwa informacji. Zachodzi prawdopodobieństwo, że część personelu nie odbyła żadnych szkoleń.

Brak odpowiedniego poziomu świadomości w tej materii (przy uwzględnieniu skali oraz kategorii przetwarzanych danych) skutkuje dużym ryzykiem przetwarzania danych niezgodnie z zasadami ujętymi w RODO oraz wielokrotnym wystąpieniem naruszeń ochrony danych osobowych oraz prawa. Niewłaściwe przeszkolenie lub brak szkoleń doprowadzić może w konsekwencji do sytuacji, gdzie pracownicy nie są zapoznani z procedurami oraz zasadami lub ich nie rozumieją.

Powyższe - w ocenie brytyjskiego organu nadzorczego - miało bezpośredni wpływ na właściwą realizację praw osób, których dane dotyczą.

Zalecenia ICO

W sporządzonym i opublikowanym raporcie, ICO sformułował szereg zaleceń mających na celu usunięcie stwierdzonych nieprawidłowości. Aż 60 % z nich zostało zakwalifikowanych przez organ nadzorczy jako pilne lub priorytetowe.

Z raportu wynika, że w toku prowadzonej kontroli, DE w pełni współpracował z regulatorem i wykazał chęć szybkiego rozwiązania zidentyfikowanych problemów. Administrator zaakceptował wszystkie zalecenia i zobowiązał się wprowadzić niezbędne zmiany.

Organ nadzorczy podkreślił, że będzie monitorować postępy DE w zakresie wdrażania zaleconych rozwiązań. W przypadku nieodpowiedniego zastosowania się do nich, ICO nie wykluczył bardziej stanowczego egzekwowania przepisów o ochronie danych osobowych, co – jak można przypuszczać – nie wyłącza ewentualności ukarania administratora karą pieniężną.

Treść pełnego raportu w j. angielskim:

https://ico.org.uk/media/action-weve-taken/audits-and-advisory-visits/2618384/department-for-education-audit-executive-summary-v1_0.pdf

Źródła:

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/statement-on-the-outcome-of-the-ico-s-compulsory-audit-of-the-department-for-education/




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych