WYDANIE ONLINE
Przed rozpoczęciem przetwarzania danych w określony sposób musimy dokonać ogólnej, a czasem również szczegółowej analizy ryzyka. Obowiązek jej przeprowadzania, weryfikacji i ponawiania skłania do bliższego omówienia tej kwestii.
Instytucje kultury, podobnie jak większość podmiotów, zostały objęte w 2018 roku przepisami ogólnego rozporządzenia o ochronie danych. Przez 2 lata od czasu rozpoczęcia stosowania RODO można zaobserwować najczęstsze błędy związane z przetwarzaniem danych osobowych, popełnianych zarówno w danym sektorze, jak i niezależnie od rodzaju podmiotu, który te dane przetwarza. Ponadto, zagrożenie epidemiologiczne zmusiło wiele instytucji kultury do zmiany sposobu kontaktu z publicznością.
Na obecnym etapie stosowania RODO warto raz jeszcze zweryfikować, czy przyjęte przez instytucje kultury zasady przetwarzania danych osobowych są zgodne ze wszystkimi obowiązującymi ją przepisami.
Znając postawy prawne przetwarzania danych osobowych, musimy następnie zweryfikować, czy nasza komunikacja w tej kwestii przebiega prawidłowo. Osoby, których dane dotyczą, mogą bowiem złożyć skargę na sposób, w jaki informujemy je o przetwarzaniu. Zwróćmy zatem uwagę na kilka praktycznych kwestii związanych z taką komunikacją.
Tworząc dokumentację oraz analizując ryzyko, projektujemy tym samym sposób zabezpieczenia danych osobowych. Skuteczność zabezpieczeń należy jednak weryfikować na bieżąco, w tym wyciągać wnioski z zaistniałych problemów. Poniższe wskazówki mają na celu uczulić publiczne instytucje kultury na kwestie związane z zabezpieczeniem przetwarzanych przez nie danych osobowych.
Weryfikując stan przestrzegania RODO, warto jeszcze sprawdzić, jak wygląda u nas podział pracy w związku z przetwarzaniem i ochroną danych osobowych. Państwowe i samorządowe instytucje kultury – jako podmioty publiczne w rozumieniu RODO – mają obowiązek powołania IOD. Może być on wybrany spośród dotychczas zatrudnionego personelu, zrekrutowany jako nowy pracownik czy też wyznaczony na podstawie umowy cywilnoprawnej (np. na podstawie umowy o świadczenie usług z zewnętrznym podmiotem gospodarczym). Dla kilku podmiotów publicznych można też wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego IOD.
