Odpowiedź na liczne sygnały
ICO wszczął postępowanie kontrolne w tej sprawie w lutym br. w związku z otrzymaniem wielu sygnałów wskazujących, że DE nie realizuje swoich obowiązków – jako administratora – wynikających z brytyjskich przepisów krajowych oraz z RODO. Zgłoszone doniesienia dotyczyły możliwych nieprawidłowości w zakresie ochrony danych osobowych w kontekście funkcjonowania Krajowej Bazy Danych Uczniów (National Pupil Database – NPD). Część zgłoszeń zwracało uwagę ICO na fakt, że dane osobowe dzieci znajdujące się w NPD prawdopodobnie były udostępniane brytyjskiemu Ministerstwu Spraw Wewnętrznych.
Wiele nieprawidłowości
W toku postępowania kontrolnego brytyjski organ nadzorczy ustalił, że w DE brak jest procedur zapewniających formalny nadzór nad szeroko pojętym zarządzaniem informacją w organizacji, w tym m.in. zarządzaniem ryzykiem, udostępnianiem i bezpieczeństwem danych osobowych. Jednocześnie, administrator nie posiadał żadnej wewnętrznej dokumentacji (np. polityki prywatności lub innego stosownego dokumentu), co w ocenie ICO skutkowało niemożliwością wykazania przestrzegania wszystkich zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 ust. 1 RODO,
a konsekwentnie zasady rozliczalności (art. 5 ust. 2 RODO).
Regulator ustalił, że DE nie opracował i nie wdrożył rejestru czynności przetwarzania danych osobowych, co w sposób bezpośredni naruszyło przepisy RODO. W żaden sposób nie monitorował on również procesów przetwarzania danych osobowych. ICO zakwestionował ponadto skuteczność powołania inspektora ochrony danych oraz poprawność przeprowadzanych ocen skutków dla ochrony danych (DPIA).
Zgodnie ze stanowiskiem organu oceny skutków nie zostały wykonane przed rozpoczęciem przetwarzania danych lub wystarczająco wcześnie, by móc wpłynąć na wynik. Dla niektórych procesów, które powinny zostać objęte DPIA, nie została ona przeprowadzona.
Dodatkowo, zespół, w którego kompetencji leży ochrona prywatności ( The Privacy Assurance Team) nie posiadał kompletnych informacji, co skutkowało brakiem informacji dot. szczegółowych poziomów ryzyka dla konkretnych czynności przetwarzania.
Wątpliwości organu wzbudził również wyznaczony inspektor ochrony danych. Zgodnie z treścią raportu nie spełnia on wymagań wynikających z art. 37-39 RODO.
Świadomość jest kluczem
W ramach przeprowadzonej kontroli ICO stwierdził również, że pracownicy DE nie byli w odpowiedni sposób szkoleni pod kątem ochrony danych osobowych, zarządzania ryzykiem, udostępniania danych, czy bezpieczeństwa informacji. Zachodzi prawdopodobieństwo, że część personelu nie odbyła żadnych szkoleń.
Brak odpowiedniego poziomu świadomości w tej materii (przy uwzględnieniu skali oraz kategorii przetwarzanych danych) skutkuje dużym ryzykiem przetwarzania danych niezgodnie z zasadami ujętymi w RODO oraz wielokrotnym wystąpieniem naruszeń ochrony danych osobowych oraz prawa. Niewłaściwe przeszkolenie lub brak szkoleń doprowadzić może w konsekwencji do sytuacji, gdzie pracownicy nie są zapoznani z procedurami oraz zasadami lub ich nie rozumieją.
Powyższe – w ocenie brytyjskiego organu nadzorczego – miało bezpośredni wpływ na właściwą realizację praw osób, których dane dotyczą.
Zalecenia ICO
W sporządzonym i opublikowanym raporcie, ICO sformułował szereg zaleceń mających na celu usunięcie stwierdzonych nieprawidłowości. Aż 60 % z nich zostało zakwalifikowanych przez organ nadzorczy jako pilne lub priorytetowe.
Z raportu wynika, że w toku prowadzonej kontroli, DE w pełni współpracował z regulatorem i wykazał chęć szybkiego rozwiązania zidentyfikowanych problemów. Administrator zaakceptował wszystkie zalecenia i zobowiązał się wprowadzić niezbędne zmiany.
Organ nadzorczy podkreślił, że będzie monitorować postępy DE w zakresie wdrażania zaleconych rozwiązań. W przypadku nieodpowiedniego zastosowania się do nich, ICO nie wykluczył bardziej stanowczego egzekwowania przepisów o ochronie danych osobowych, co – jak można przypuszczać – nie wyłącza ewentualności ukarania administratora karą pieniężną.
Treść pełnego raportu w j. angielskim:
https://ico.org.uk/media/action-weve-taken/audits-and-advisory-visits/2618384/department-for-education-audit-executive-summary-v1_0.pdf
Źródła:
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/statement-on-the-outcome-of-the-ico-s-compulsory-audit-of-the-department-for-education/
