Weryfikacja podstaw prawnych do przetwarzania danych osobowych
Na obecnym etapie stosowania RODO warto raz jeszcze zweryfikować, czy przyjęte przez instytucje kultury zasady przetwarzania danych osobowych są zgodne ze wszystkimi obowiązującymi ją przepisami.
Prawidłowe przeprowadzenie analizy ryzyka w jednostce kultury
Przed rozpoczęciem przetwarzania danych w określony sposób musimy dokonać ogólnej, a czasem również szczegółowej analizy ryzyka. Obowiązek jej przeprowadzania, weryfikacji i ponawiania skłania do bliższego omówienia tej kwestii.
Podział zadań związanych z ochroną danych osobowych
Weryfikując stan przestrzegania RODO, warto jeszcze sprawdzić, jak wygląda u nas podział pracy w związku z przetwarzaniem i ochroną danych osobowych. Państwowe i samorządowe instytucje kultury – jako podmioty publiczne w rozumieniu RODO – mają obowiązek powołania IOD. Może być on wybrany spośród dotychczas zatrudnionego personelu, zrekrutowany jako nowy pracownik czy też wyznaczony na podstawie umowy cywilnoprawnej (np. na podstawie umowy o świadczenie usług z zewnętrznym podmiotem gospodarczym). Dla kilku podmiotów publicznych można też wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego IOD.
Obecne wyzwania związane z ochroną danych osobowych w instytucjach kultury
Instytucje kultury, podobnie jak większość podmiotów, zostały objęte w 2018 roku przepisami ogólnego rozporządzenia o ochronie danych. Przez 2 lata od czasu rozpoczęcia stosowania RODO można zaobserwować najczęstsze błędy związane z przetwarzaniem danych osobowych, popełnianych zarówno w danym sektorze, jak i niezależnie od rodzaju podmiotu, który te dane przetwarza. Ponadto, zagrożenie epidemiologiczne zmusiło wiele instytucji kultury do zmiany sposobu kontaktu z publicznością.
Czy właściwie zabezpieczamy dane osobowe
Tworząc dokumentację oraz analizując ryzyko, projektujemy tym samym sposób zabezpieczenia danych osobowych. Skuteczność zabezpieczeń należy jednak weryfikować na bieżąco, w tym wyciągać wnioski z zaistniałych problemów. Poniższe wskazówki mają na celu uczulić publiczne instytucje kultury na kwestie związane z zabezpieczeniem przetwarzanych przez nie danych osobowych.
Czy prawidłowo prowadzimy komunikację z osobami, których dane przetwarzamy
Znając postawy prawne przetwarzania danych osobowych, musimy następnie zweryfikować, czy nasza komunikacja w tej kwestii przebiega prawidłowo. Osoby, których dane dotyczą, mogą bowiem złożyć skargę na sposób, w jaki informujemy je o przetwarzaniu. Zwróćmy zatem uwagę na kilka praktycznych kwestii związanych z taką komunikacją.
