SPRAWOZDANIE
ze sprawdzenia stanu zgodności wewnętrznych procedur dotyczących ochrony danych osobowych z wymogami RODO
Sprawozdanie sporządzono na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO).
ADMINISTRATOR DANYCH
SZKOŁA PODSTAWOWA IM. JANUSZA KORCZAKA W PASIEKACH
DEFINICJE
1. Administrator danych - oznacza osobę fizyczną lub prawną, podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem jest Szkoła Podstawowa im. Janusza Korczaka w Pasiekach;
2. Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3. Dane szczególne - oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego
zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej;
4. Hasło – rozumie się przez to ciąg znaków alfanumerycznych, znany jedynie użytkownikowi;
5. Identyfikator – rozumie się przez to ciąg znaków literowych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
6. Obszar przetwarzania danych – rozumie się przez to budynki i pomieszczenia określone przez administratora danych, tworzące obszar, w którym
przetwarzane są dane osobowe i inne informacje prawem chronione;
7. Podmiot przetwarzający - oznacza organizację lub osobę, której AD powierzył przetwarzanie danych osobowych;
8. Profilowanie - oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
9. System informatyczny administratora danych – rozumie się przez to sprzęt komputerowy, oprogramowanie, dane eksploatowane w zespole
współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych;
10. Uwierzytelnienie – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu;
11. Użytkownik – rozumie się przez to osobę upoważnioną do przetwarzania danych osobowych, której nadano identyfikator i przyznano hasło;
12. Zgoda osoby, której dane dotyczą - oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
ZAKRES SPRAWDZENIA
1. Aktualizacja systemu zarządzania bezpieczeństwem informacji, ze szczególnym uwzględnieniem polityk bezpieczeństwa oraz instrukcji i procedur dotyczących zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
2. Realizacja rozszerzonego obowiązku informacyjnego.
3. Zasadność powołania Inspektora ochrony danych osobowych.
4. Przegląd umów powierzenia oraz regulacja zasad dotyczących współpracy z podmiotami zewnętrznymi w zakresie powierzenia danych osobowych.
5. Prowadzenie Rejestru czynności przetwarzania, tj. określenia zakresu, celów i podstaw prawnych przetwarzanych danych, oraz Rejestru kategorii czynności przetwarzania – jeżeli AD w ramach podpisanej umowy powierzenia danych, staje się podmiotem przetwarzającym i przetwarza dane osobowe należące do innego Administratora.
6. Prowadzenie Rejestru Kategorii Czynności Przetwarzania.
7. Upoważnienia dla osób przetwarzających dane osobowe oraz oświadczenie o zachowaniu tajemnicy zawodowej.
8. Zapewnienie szkoleń osobom zatrudnionym przy przetwarzaniu danych osobowych.
9. Zweryfikowanie czy przetwarzane dane podlegają procesom profilowania lub/i zautomatyzowanemu systemowi podejmowania decyzji.
10. Weryfikacja procedur dotyczących monitoringu.
11. Analiza procedur dotyczących przekazania danych do państwa trzeciego.
12. Przeprowadzenie Jednolitej Analizy Kontroli Ram Interoperacyjności.
13. Przeprowadzenie audytu zgodności RODO.
14. Przeprowadzenie Analizy ryzyka RODO.
15. Pomiar temperatury pracowników.
16. Wdrożenie procedury pomiaru temperatury.
17. Oddelegowanie pracowników do pracy zdalnej.
18. Wdrożenie procedury związanej z oddelegowaniem pracownika do pracy zdalnej.
19. Analiza środków ochrony fizycznej oraz środków technicznych i organizacyjnych niezbędnych do zapewnienia ochrony przetwarzanych danych.
Sprawozdanie ze sprawdzenia stanu zgodności wewnętrznych procedur dotyczących ochrony danych
osobowych z wymogami RODO
...
oznaczenie administratora danych
(pieczątka z adresem siedziby)
Sprawozdanie wykonano w dniu 02.11.2021
Opis stanu faktycznego:
Dane osobowe przetwarzane są z poszanowaniem następujących zasad:
w oparciu o podstawę prawną i zgodnie z prawem (legalizm);
rzetelnie i uczciwie (rzetelność);
w sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
w konkretnych celach i nie „na zapas” (minimalizacja);
nie więcej niż potrzeba (adekwatność);
z dbałością o prawidłowość danych (prawidłowość);
nie dłużej niż potrzeba (czasowość).
1. Administrator Danych przeprowadził przegląd i aktualizację polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.
W dokumentach i procedurach zostały zaktualizowane podstawy prawne, ponownie przeprowadzono inwentaryzację przetwarzanych danych osobowych w ramach sprawdzenia aktualności zbiorów, oraz sposobów ich przetwarzania.
2. Administrator, na etapie gromadzenia danych (niezależnie od tego, czy zbiera je bezpośredniego od osób, których one dotyczą, czy też pozyskania ich od podmiotu trzeciego) powiadamia osoby, których dane gromadzi
o przysługujących im prawach oraz przekazuje informacje o zasadach i celu przetwarzania danych osobowych (wypełnienie „obowiązków informacyjnych”
wskazanych w art. 13 i 14 RODO). AD zapewnił skuteczną realizację rozszerzonego obowiązku informacyjnego. Zaktualizowane klauzule informacyjne w sposób przejrzysty komunikują o trybie wykonywania praw osób, których dane dotyczą, zgodnie z art. 12-14 RODO.
3. Zgodnie z zaleceniami Grupy Roboczej Art. 29, uwzględniając specyfikę
działalności, AD przeanalizował obowiązek i możliwość wyznaczenia Inspektora Ochrony Danych. Fakt ten został udokumentowany.
4. AD dokonał przeglądu, aktualizacji, tworzenia nowych umów powierzenia danych, a także opracował ich rejestr. Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by
przetwarzanie spełniało wymogi RODO i chroniło dane osobowe.
5. AD przeprowadził inwentaryzację i aktualizację procesów związanych z przetwarzaniem danych osobowych i na tej podstawie opracował Rejestr czynności przetwarzania danych osobowych zgodnie z art. 30 ust. 1 RODO.
6. Została przeprowadzona analiza świadczonych usług innym podmiotom.
Administrator Danych, jako podmiot przetwarzający prowadzi Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu innego AD,
zawierający określone w art. 30 ust. 2 RODO, informacje.
7. Administrator podjął działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora, która ma dostęp do danych
osobowych, przetwarzała je wyłącznie na polecenie administratora (art. 29, 32 ust. 4 RODO), oraz aby złożyła oświadczenia o zachowaniu tajemnicy danych osobowych. Poprzez kontynuację ewidencji osób upoważnionych, AD zapewnił odpowiednie zarządzanie jak i historię nadawania, zmieniania, odbierania uprawnień do przetwarzania danych.
8. Administrator Danych podjął działania zapewniające szkolenia, mające na celu zwiększenie świadomości pracowników uczestniczących w operacjach
przetwarzania.
9. Dane osobowe nie podlegają zautomatyzowanemu systemowi podejmowania decyzji oraz profilowaniu.
10. Administrator Danych posiada monitoring z wykorzystaniem kamer
przemysłowych, w celu zwiększenia bezpieczeństwa pracy, pracowników oraz umożliwienia wykrywania zachowań szkodzących pracodawcy, pracownikom lub narażających pracodawcę na straty oraz w celu zwiększenia bezpieczeństwa osób przebywających na terenie placówki.
Została wprowadzona procedura regulująca zasady funkcjonowania monitoringu, określająca miejsca jego stosowania, udostępnianie zapisów wraz z ewidencją osób upoważnionych do pracy z systemem monitoringu.
Pracownicy zostali zapoznani z zasadami funkcjonowania monitoringu, co potwierdzili podpisem na indywidualnych oświadczeniach.
11. Przekazanie danych osobowych do państwa trzeciego – nie dotyczy.
12. Administrator Danych nie przeprowadził Jednolitej Analizy Kontrolnej Krajowych Ram Interoperacyjności.
13. Administrator Danych przeprowadził audyt zgodności RODO, zweryfikował i przeanalizował całą dokumentację ochrony danych osobowych oraz wyeliminował braki i skorygował błędy, które wystąpiły.
14. Wyniki analizy ryzyka i zastosowane środki ochrony powinny być
udokumentowane w celu wykazania stosowania RODO i rozliczenia się przed Prezesem Urzędu Ochrony Danych Osobowych. Administrator Danych
przeprowadził i udokumentował analizę ryzyka utraty integralności, dostępności i poufności informacji, uwzględniając rekomendacje działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy.
15. AD wykonuje pomiar temperatury pracownikom.
16. Została wdrożona procedura związana z pomiarem temperatury pracowników dotycząca zapewnienia bezpiecznych warunków pracy. Pracownicy wyrazili pisemną zgodę na wykonanie pomiaru temperatury ciała.
17. Pracownicy nie zostali oddelegowani do pracy zdalnej.
18. W związku z nie oddelegowaniem przez Administrator Danych pracowników do pracy zdalnej nie ma konieczności wdrożenia procedury pracy zdalnej.
19. Administrator jest zobligowany do „wdrożenia odpowiednich środków technicznych i organizacyjnych” biorąc pod uwagę „stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko
ŚRODKI OCHRONY FIZYCZNEJ
drzwi zwykłe zamykane na klucz, zabezpieczone kratami;
system alarmowy, monitoring;
dostęp tylko w obecności osób upoważnionych;
przechowywanie danych w pomieszczeniach zabezpieczonych przed skutkami pożaru za pomocą wolno stojącej gaśnicy;
dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
ŚRODKI TECHNICZNE
urządzenia chroniące przed skutkami awarii zasilania – ups;
dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia
z wykorzystaniem identyfikatora użytkownika oraz hasła;
zmiana haseł nie rzadziej niż co 30 dni;
zastosowanie programów antywirusowych i innych regularnie aktualizowanych narzędzi ochrony;
system Firewall;
określenia praw dostępu do zakresu w ramach przetwarzanych zbiorów;
wygaszacze ekranów;
zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do bazy danych osobowych;
stosowanie indywidualnych loginów i haseł logowania do poszczególnych programów.
ŚRODKI ORGANIZACYJNE
dostęp do danych posiadają wyłącznie osoby upoważnione;
przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych;
osoby upoważnione zobowiązane zostały do zachowania tajemnicy dotyczącej danych osobowych;
prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych;
monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym.
Sprawozdanie ze sprawdzenia RODO
zostało wykonane w oparciu o udzielone informacje Grupie Format Sp. z o.o. Sp. k.
Podpis AD ZALECENIA
Stwierdzono brak:
- Jednolitej Analizy Kontrolnej Krajowych Ram Interoperacyjności.
