„KONGRES DYREKTORÓW PLACÓWEK OŚWIATOWYCH” - sprawozdanie


W dniu 21 września 2017 roku w Sali Lustrzanej - Instytutu Nauk Prawnych Polskiej Akademii Nauk przy ulicy Nowy Świat 72 w Warszawie -  w obecności ponad 200 uczestników odbył się KONGRES DYREKTORÓW PLACÓWEK OŚWIATOWYCH organizowany przez Stowarzyszenie Inspektorów Ochrony Danych Osobowych z honorowym patronatem współpracujących uczelni.

Kongres otworzył Prezes Zarządu SIODO Pan Jarosław Feliński wprowadzając w problematykę zmian UODO i RODO.

Następnie głos zabrał Pan prof. dr hab. inż Maciej Krawczak Rektor WIT, wskazując w swoim wystąpieniu na potrzebę kształcenia specjalistów zarządzania bezpieczeństwem informacji we współczesnym świecie i zmieniającym się środowisku prawnym.

W kolejności wystąpień poruszone zostały tematy: 

Pan Jarosław Feliński Prezes Zarządu Stowarzyszenia Inspektorów Ochrony Danych Osobowych - w swoim wystąpieniu wykazał zakres zmian obecnego UODO i wdrażanego RODO w kontekście strukturalnych działań administratora. Wyjaśnił REWOLUCYJNĄ zmianę jakości osoby zarządzającej danymi osobowymi z ABI [niezupełnie zdefiniowaną i określoną wiedzą], na Inspektora Ochrony Danych Osobowych z wyrażoną w art. 37 ust.5 koniecznością posiadania KWALIFIKACJI ZAWODOWYCH, wykazanych w polskim prawodawstwie.

Dyrektorzy placówek jako administratorzy w nowych koniecznościach powinni wprowadzić działania zmierzające do opracowania planów działań edukacyjnych w wymiarze:

  • skierowania IODO na kształcenie umożliwiające zdobycie kwalifikacji zawodowych zgodnie z Ustawą o Zintegrowanym Systemie Kwalifikacji [Dz. U. 2016],
  • szkoleń podstawowych użytkowników procesów przetwarzania danych,
  • następnie szkolenia dedykowane określonym grupom użytkowników w związku z potrzebami tych grup,
  • szkolenia przypominające zasady zabezpieczenia informacji, a także szkolenia związane z incydentami i naruszeniami bezpieczeństwa.

Uświadomienie zmian struktury organizacyjnej i aktualizacji PBI na polityki ochrony danych jako przedstawiono jako EWOLUCJĘ istniejącego stanu zabezpieczenia danych osobowych w oparciu o narzędzia sprawdzenia audytowego i zmian w przepisach wewnętrznych - Statut, schemat organizacyjny. Zaakcentowane zostały także jako wysokie prawdopodobieństwo zagrożenia i ryzyka naruszenia bezpieczeństwa danych osobowych w ocenie skutków, czynności realizowane przez osoby nie posiadające odpowiednich kompetencji do nadzoru i przetwarzania danych [IODO], a także Dyrektorzy placówek skupiający się na mechaniczno-technicznym opracowaniu PBI - uznając za spełnienie ustawowych wymagań, co jest oczywistym błędem.  Warunki, uprawnienia i zakres audytu, a także zmiany statutowe omówili kolejni prelegenci.

 

Pan Rafał Kula - w myśl zapisów RODO, każdy podmiot jest zobligowany do podania w publicznym oficjalnym komunikatorze BIP, szczegółowe informacje o Inspektorze Ochrony Danych Osobowych jako punkcie kontaktowym osobom, które będą zamierzały skorzystać z praw określonych w RODO. Wykazał rolę Biuletynu Informacji Publicznej [BIP] jako podstawowego sposobu udostępniania informacji publicznej , który ma charakter urzędowego publikatora teleinformatycznego prowadzonego w postaci ujednoliconego systemu stron internetowych. Głównym i jedynym celem Biuletynu jest powszechne udostępnianie informacji publicznej. W trakcie wystąpienia przedstawione zostały różnice pomiędzy stroną www a BIP placówki. Określono warunki wprowadzania i aktualizowania informacji, a także sposób informowania wnioskodawców o zawartości BIP.

Pan Michał Tuz - określił w wystąpieniu konieczności związane z procesami weryfikacji zabezpieczeń systemu zarządzania bezpieczeństwem informacji [SZBI] w oparciu o obowiązujące przepisy w szczególności w odniesieniu do Rozporządzenia KRI, RODO oraz wymagania jego realizacji. W syntetyczny sposób określił wymagania formalne audytu bezpieczeństwa informacji:

  • staranność wyłaniania podmiotów poprzez weryfikację - uprawnienia audytora strony trzeciej, audytora wiodącego PN ISO 27001 jako doradcy zewnętrznego;
  • znajomość problematyki działania placówki oświatowej, w tym znowelizowanych przepisów prawa oświatowego;
  • czynności realizowanych przez strony zewnętrzne;
  • ryzyko naruszenia bezpieczeństwa danych przez personel placówki;
  • weryfikację wiedzy pracowników szkoły/przedszkola/ biblioteki;
  • odpowiedzialność dyrektora i pracowników.

Zaprezentowane zostały w trakcie wystąpienia, uprawnienia Audytor Wiodącego ISO PN 27001, jako warunek sine qau non zlecenia i wykonania prac audytowych zgodnie z przepisami prawa o audycie bezpieczeństwa informacji. 

Omówiono poparte przykładami sytuacje z prowadzonych działań audytowych.

Pani Magdalena Różańska - w trakcie wystąpienia przedstawiała zasady archiwizacji dokumentacji w związku z przetwarzaniem danych osobowych na różnych nośnikach, w szczególny sposób akcentując zmiany przepisów prawa i form kategoryzacji tradycyjnych nośników informacji. Omówiła przedmiotowo i podmiotowo znaczenie instrukcji kancelaryjnej i Jednolitego Rzeczowego Wykazu Akt w placówce, a także w jaki stosować protokoły klasyfikacji i niszczenia / brakowania dokumentacji w formie papierowej i elektronicznej. Określone zostały w trakcie prezentacji warunki kasowania danych elektronicznych, usuwanie zapisów i protokoły zakończenia przetwarzania danych. Podsumowując wystąpienie, prelegentka w formie swobodnej dyskusji i zgromadzeni uczestnicy potwierdzili dużą potrzebę uporządkowania spraw związanych z poruszonym tematem i występujące braki specjalistów archiwizacji w placówkach.


Pani Beata Patoka Szurawska i Pan Sebastian Szczerba - w dynamicznej prezentacji prelegenci wskazali podstawowe rozdziały nowego statutu placówki oświatowej w oparciu o przepisy Prawa Oświatowego w kontekście koniecznych uzupełnień wynikających z RODO i opublikowanej kilka dni temu kolejnej wersji projektu UODO. Skoncentrowano się na sprawach organizacyjnego podporządkowania Inspektora Ochrony Danych Osobowych i jego roli w placówce, zmianach w strukturze / schemacie organizacyjnym w perspektywie zmian wchodzących 25 maja 2018 roku. Podkreślono potrzebę jasnego określenia zadań zarówno IODO jak i współpracujących z nim wychowawców, nauczycieli i pracowników placówki.

Wszyscy prelegenci przedstawili bardzo merytoryczne i kompletne w treści wystąpienia, przekrojowo prezentując procesy gromadzenia, wykorzystania do archiwizowania danych na różnych nośnikach.