Przede wszystkim nie obędzie się bez zmian w regulaminach. Najprościej będzie dodać do nich nowy rozdział „Informacje o zasadach przetwarzania danych”. Dyrektorzy i pracownicy placówek kulturalnych nie mogą też zapomnieć o wyznaczeniu inspektora ochrony danych – może to być np. jeden IOD dla kilku jednostek o podobnym profilu
To już ostatni dzwonek dla dyrektorów bibliotek i ośrodków kultury, aby dostosować zarządzane jednostki do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), które zacznie obowiązywać już 25 maja. Choć ustawodawca unijny dał aż dwa lata na wdrożenie nowych wymogów, to wiele instytucji kultury zostawiło to na ostatnią chwilę. Ryzykując tym samym nie tylko karą do 100 tys. zł, ale i utratą zaufania społecznego i wizerunku, co może skutkować spadkiem odwiedzin i statystyk korzystania z usług. Spóźnialskim na wypełnienie nowych obowiązków został tylko miesiąc.
Zasoby chronione oraz procesy przetwarzania
Punktem wyjścia do zapewnienia poufności danych jest ich identyfikacja, tzn. inwentaryzacja zbiorów danych (schemat poniżej).
Wszystkie te dane podlegają ochronie. Nawet jeżeli w ramach wysyłania newslettera jest wykorzystywany adres e-mail, mamy do czynienia z danymi osobowymi. Instytucja powinna być w stanie zidentyfikować cały proces wykorzystywania tych informacji w ramach zbioru (od momentu pozyskania do usunięcia), aby być w stanie skutecznie wywiązać się z obowiązków wynikających z art. 5 RODO, czyli spełnienia warunku legalności, rzetelności i przejrzystości przetwarzania danych, określenia minimalnego, niezbędnego zakresu danych do wyraźnego i określonego celu przetwarzania, zapewnienia prawidłowości i aktualności danych, zapewnienia bezpieczeństwa danych podczas ich gromadzenia, przechowywania i dalszego wykorzystywania, określenia czasu lub kryteriów czasu przetwarzania. Wyodrębnione informacje należy udokumentować, w szczególności tworząc rejestr czynności przetwarzania zawierający te wszystkie informacje.
Artykuł 30 RODO nie nakłada na wszystkie podmioty obowiązku prowadzenia rejestru, jednakże biorąc pod uwagę, że instytucje kultury mogą bardzo łatwo go utworzyć, rozszerzając o dodatkowe informacje swoje dotychczasowe wykazy zbiorów w polityce bezpieczeństwa, zdecydowanie warto taki spis prowadzić. Uporządkuje on wszelkie informacje o przetwarzanych danych, ułatwi kontrolę nad nimi oraz pomoże skutecznie wywiązać się z obowiązku informacyjnego wobec właścicieli danych (większość niezbędnych informacji można zaczerpnąć z rejestru).
Co może podlegać ochronie
Dyrektor i pracownicy muszą mieć świadomość, że na co dzień odpowiadają za dane:
● czytelników,
● uczestników imprez,
● pracowników,
● osób realizujących zlecenia,
● umowy o dzieło,
● korzystających z zakładowego funduszu świadczeń socjalnych,
● uczestników konkursów,
● sponsorów,
● kontrahentów,
● stażystów,
● praktykantów,
● osób otrzymujących newsletter,
● osób, których wizerunek utrwalono za pomocą monitoringu wizyjnego,
● gromadzone w rejestrze poczty oraz w celach kontaktowych
Legalność przetwarzania danych
Warunki legalności przetwarzania danych zostały określone w artykule 6 RODO. Zgodnie z nim, aby instytucja kultury mogła legalnie przetwarzać dane osobowe, musi zostać spełniony co najmniej jeden ze wskazanych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę;
b) przetwarzanie wynika z obowiązku określonego prawem;
c) przetwarzanie jest związane z realizacją umowy zawartej z osobą, której dane dotyczą;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej bibliotece;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez bibliotekę lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Instytucja kultury, analizując dane przetwarzane w ramach zinwentaryzowanych zbiorów pod kątem ich legalności, powinna odnosić się do powyższych warunków i wpisać odpowiednią informację do rejestru czynności przetwarzania, jeżeli go prowadzi. Dla przykładu, dane osobowe czytelników oraz użytkowników biblioteki są przetwarzane na podstawie ustawy z 27 czerwca 1997 r. o bibliotekach (t.j. Dz. U. z 2018 r. poz. 574) oraz ustawy z 29 czerwca 1995 r. o statystyce publicznej (t.j. Dz.U. z 2016 r. poz. 1068 ze zm.). I tak ze względu na art. 3 oraz art. 6 ustawy o bibliotekach, który obliguje biblioteki do ochrony swoich materiałów (księgozbiorów), placówki gromadzą PESEL-e czytelników. Dzięki temu są w stanie jednoznacznie zidentyfikować osobę zalegającą ze zwrotem książki oraz skutecznie dochodzić zwrotu materiałów bibliotecznych lub ich równowartości. Jednocześnie ustawa o statystyce obliguje biblioteki do pozyskiwania od czytelników informacji niezbędnych do uzupełnienia formularza K-03, w szczególności informacji o jego wieku oraz kategorii społeczno-zawodowej.
Z kolei dane osobowe pracowników biblioteki są przetwarzane na podstawie ustawy z 26 czerwca 1974 r. – Kodeks pracy, a osób realizujących zlecenia na podstawie zawartej z nimi umowy. W przypadku danych osobowych uczestników konkursów, szkoleń lub wydarzeń niezbędna jest zgoda osób biorących w nich udział.
Na jakich warunkach zgoda
Warto podkreślić, że w motywie 32 preambuły RODO unijny ustawodawca odnosi się wprost do zasady pozyskiwania zgody, która „powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. (...) Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody”. I choć forma wyrażenia zgody na przetwarzanie danych osobowych jest dowolna, to zgodnie z art. 7 RODO instytucja kultury musi być w stanie wykazać, że osoba, której dane dotyczą, ją wyraziła. W praktyce oznacza to, że także zgoda ustna musi zostać udokumentowana, a czas przechowywania dokumentów musi być równoważny z czasem wykorzystywania danych. W praktyce instytucje kultury prowadzą dosyć intensywne działania marketingowe: wysyłają newslettery czy publikują zdjęcia z wydarzeń. Szczególnie dużą wagę przykładają do możliwości publikowania wizerunków uczestników imprez i konkursów. Jednak na to muszą mieć osobną zgodę, której treść powinna zostać napisana jak najprostszym językiem – aby mogła zostać skutecznie zrozumiana przez osobę, która ją wyraża. Samo pozyskanie zgody powinno się odbyć w momencie zgłoszenia udziału uczestnika. Najlepiej w formie elektronicznego lub papierowego formularza – w przypadku elektronicznego należy uwzględnić konieczność przechowywania potwierdzenia zgody tak długo, jak wykorzystywane są zdjęcia. Należy także pamiętać o konieczności. zapewnienia poufności przekazywanych przez uczestnika konkursu danych, np. zabezpieczenie formularza internetowego certyfikatem SSL, umożliwienie przekazania danych poprzez formularz papierowy, który od razu jest przechowywany w bezpiecznym miejscu. Jest to szczególnie ważne w przypadku imprez, gdzie bezpośrednio od uczestników są pozyskiwane papierowe formularze – nie mogą one pozostawać bez nadzoru osoby upoważnionej. Następnie potwierdzenia wyrażania zgody na wykorzystanie wizerunku należy przechowywać tak długo, jak zdjęcia są rozpowszechniane oraz przechowywane. Należy także przygotować odpowiednie miejsce na przechowywanie formularzy zgody. Ponieważ zawierają dane osobowe, także podlegają obowiązkowi ochrony.
Obowiązek informacyjny
Jeżeli dane osobowe są zbierane od osoby, której dotyczą, instytucja kultury podczas ich pozyskiwania musi wypełnić obowiązek informacyjny określony w art. 13 RODO. W przypadku pozyskania danych z innego źródła, np. szkoły, należy – zgodnie z art. 14 RODO – wypełnić ten obowiązek w momencie pozyskania danych. W tym miejscu warto dodać, że unijne rozporządzenie właściwie tylko rozszerza dotychczasowe obowiązki informacyjne z art. 24 i 25 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) – kładzie bardzo silny nacisk na rzetelne informowanie podmiotu o zasadach przetwarzania jego danych. Szczególnie, gdy podstawą przetwarzania jest zgoda, ważne jest, aby osoba, która ją wyraża, wiedziała, na co się zgadza. RODO rozszerza dotychczasowy obowiązek informacyjny. W szczególności chodzi o konieczność wskazania podstawy prawnej przetwarzania danych, danych kontaktowych do inspektora ochrony danych, poinformowania o prawie do przenoszenia danych oraz bycia zapomnianym, a także możliwości wniesienia skargi do organu nadzoru (przyszły prezes Urzędu Ochrony Danych Osobowych). Ponadto trzeba poinformować, czy dane są przekazywane do państwa trzeciego lub organizacji międzynarodowej. Instytucje kultury będą musiały także określić czas przechowywania konkretnych rodzajów danych i informowania o tym przy ich pozyskiwaniu. UWAGA! Dla większości danych czas przechowywania określa instrukcja kancelaryjna i/lub przepisy prawa. W przypadku czytelników aktywnie korzystających z biblioteki dane będą przetwarzane tak długo, jak będą oni korzystali z usług bibliotecznych lub nie przedawnią się wierzytelności wynikające z niezwrócenia materiałów bibliotecznych. Trudność natomiast może sprawić określenie czasu przechowywania danych osobowych nieaktywnego i rozliczonego czytelnika, ponieważ pozostaje to w gestii biblioteki. Większość z nich przyjmuje okres 2–5 lat, po których usuwa bezpowrotnie dane czytelnika. Rozwiązuje to problem usuwania danych czytelników, którzy zmarli, informacja o tym nie została oficjalnie przekazana do biblioteki.
WAŻNE
Określenie czasu przechowywania danych osobowych nieaktywnego i rozliczonego czytelnika pozostaje w gestii biblioteki. W przypadku czytelników aktywnych dane będą przetwarzane tak długo, jak będą oni korzystali z usług bibliotecznych, lub do czasu przedawnienia wierzytelności wynikające z niezwróconych materiałów bibliotecznych.
Jeszcze większym problemem jest określenie czasu przechowywania danych osobowych uczestników konkursów oraz imprez. Dotychczas większość instytucji latami trzymała zdjęcia na swoich stronach internetowych, uzasadniając to celem promocyjnym (cel archiwalny jest nieuzasadniony – jemu służy kronika). RODO wymaga określenia konkretnego czasu przechowywania lub kryteriów służących do określenia tego czasu (art. 13 ust. 2a). Jeżeli instytucja kultury powołuje się na cel promocyjny, musi być w stanie obiektywnie uzasadnić, że okres publikowania zdjęć na stronie jest adekwatny do tego celu, np. poprzez pobranie z CMS statystyk wejść na strony i sprawdzenie, kiedy czas zainteresowania aktualnościami przemija (czyli znika zainteresowanie i nie można mówić o tym, że zdjęcia służą promocji).
Jak przygotować placówkę na zmiany – najważniejsze działania
1. AKTUALIZACJA REGULAMINÓW
Weryfikacja podstawy legalności przetwarzania danych oraz zmodyfikowany obowiązek informacyjny pociągają za sobą konieczność wprowadzenia zmian w dotychczas obowiązującym regulaminie.
Niezbędne jest zwłaszcza dodanie nowych informacji do regulaminów dla uczestników imprez, konkursów oraz dla czytelników, odbiorców newslettera, użytkowników OPAC (ang. Online Public Access Catalog). Przekazanie obowiązku informacyjnego bezpośrednio w regulaminie jest najłatwiejszą metodą wywiązania się z wymogów art. 13 RODO. Najlepszym rozwiązaniem jest dodanie do niego paragrafu „Informacje o zasadach przetwarzania danych”. Ułatwia to też napisanie prostej zgody na przetwarzanie danych, w której treści administrator danych (instytucja kultury) może bezpośrednio odwołać się do regulaminu – jako miejsca, w którym podano szczegółowe zasady przetwarzania danych.
2. WYZNACZENIE INSPEKTORA
Obowiązek powołania inspektora ochrony danych, czyli osoby odpowiedzialnej za nadzór nad zgodnością procesów przetwarzania z przepisami o ochronie danych, zgodnie z art. 37 RODO ma każdy podmiot publiczny. Zgodnie z art. 7. projektu nowelizacji o ochronie danych osobowych „Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych”.
Wśród wskazanych zobowiązanych podmiotów znajdują się instytucje kultury. Przepisy nie dają jednak konkretnych wytycznych w zakresie umiejętności, wiedzy i doświadczenia IOD. To dyrektor instytucji ma dokonać wyboru odpowiedniego dla jego jednostki. Może to być zarówno jeden z pracowników, jak i osoba/podmiot zewnętrzny. Dokonując wyboru, należy jednak mieć na względzie, że jest to praca wymagająca wiedzy, czasu i zaangażowania, a inspektor – aby móc rzetelnie wykonywać swoje obowiązki – musi być niezależny i podlegać bezpośrednio dyrektorowi. Warto zwrócić uwagę, że może to być trudne w przypadku osoby silnie zaangażowanej w procesy przetwarzania, np. pracownika księgowości i kadr lub informatyka, który odpowiada za bezpieczeństwo teleinformatyczne. Te osoby odpowiadają za najważniejsze procesy przetwarzania w instytucji, i po pierwsze, nie mogą same siebie kontrolować, po drugie, mogą być nieobiektywne w ocenie. Rozsądnym wyborem może być oddelegowanie szeregowego pracownika, który po zdobyciu niezbędnych kwalifikacji będzie pełnił rolę IOD. Jednocześnie, zgodnie z art. 37 ust. 3. RODO, „Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych”. Jest to rozwiązanie bardzo korzystne szczególnie dla małych podmiotów. Obecnie w tym zakresie preferowane są dwa rozwiązania: jednostki kultury wyznaczają wspólnego IOD dla kilku podmiotów (z reguły jednego z ich pracowników) lub gmina zapewnia IOD dla wszystkich nadzorowanych jednostek. Wadą drugiego rozwiązania może być to, że dla takiego inspektora instytucja kultury będzie najmniej istotna i będzie poświęcał jej najmniej uwagi.
3. ZGŁASZANIE NARUSZEŃ POUFNOŚCI
Notyfikacja incydentów obowiązuje już od dawna podmioty przetwarzające informacje niejawne oraz firmy telekomunikacyjne, jednak nigdy jeszcze nie obejmowała tylu podmiotów. Od 25 maja tysiące podmiotów przetwarzających dane osobowe w przypadku naruszenia ich poufności będzie miało obowiązek zgłosić informację o tym zdarzeniu do organu nadzoru oraz powiadomić osoby, których dane dotyczą, o zaistniałej sytuacji. Podkreślić należy, że obowiązek notyfikacji – zgodnie z art. 33 ust. 1 RODO – będzie dotyczył tylko naruszeń, które mogą skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Do takich sytuacji należy np. kradzież danych osobowych, w szczególności: bazy danych, zagubienie nośnika danych osobowych (np. pendrive), wysłanie wiadomości e-mail do wielu odbiorców prywatnych, w sposób ujawniający im nawzajem ich e-maile. Od momentu stwierdzenia przez inspektora wysokiego ryzyka dla prywatności osób, których danych dotyczy incydent, dyrektor instytucji kultury będzie miał 72 godziny na dokonanie powiadomienia prezesa Urzędu Ochrony Danych Osobowych. Powiadomienie musi zawierać nie tylko opis zdarzenia, ale przede wszystkim podjęte lub planowane działania w celu ograniczenia negatywnych skutków incydentu dla osób, których dane dotyczą. W momencie stwierdzenia naruszenia konieczne będzie podjęcie równocześnie działań wyjaśniających, ograniczających ryzyko oraz powiadomienie osób, których dane dotyczą. Każde naruszenie poufności to utrata wiarygodności instytucji kultury oraz zaufania publicznego. Odbudowanie wizerunku może trwać bardzo długo, dlatego dyrektor powinien zadbać o wcześniejsze wdrożenie środków zaradczych, szczególnie zabezpieczeń danych uniemożliwiających ich odczytanie, takich jak szyfrowanie. Jeżeli będzie w stanie zastosować odpowiednie środki przed incydentem lub zaraz po nim, to zgodnie z art. 34 ust. 3 RODO nie będzie miał obowiązku powiadamiania osób, których dane dotyczą.
4. OCENA SKUTKÓW PRZETWARZANIA
Jedną z nowości wynikających z RODO jest wprowadzenie zasad uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Oznacza to, że instytucja kultury przed podjęcie konkretnego działania powinna dokonać oceny całego procesu przetwarzania – tzn. zasad gromadzenia, przesyłania, przechowywania danych itp. – w celu zapewnienia poufności, integralności i rozliczalności danych. Planowanie procesów przetwarzania jest jednym z fundamentów RODO. Najłatwiej zapewnić je przez wdrożenie odpowiednich procedur w ramach prowadzonej w instytucji polityki bezpieczeństwa, np. procedur przeprowadzania konkursów, imprez, prowadzenia newslettera czy procedury nowego działania związanego z wykorzystywaniem danych osobowych. W ramach danej procedury powinny zostać opisane nie tylko czynności, jakie należy wykonać, ale także wzory np. zgody na przetwarzanie danych, obowiązku informacyjnego czy regulaminu. Tworząc procedury, dyrektor będzie w stanie wykazać, że należycie wywiązał się z obowiązku planowania procesów przetwarzania. W ramach procedur powinny zostać wskazane odpowiednie środki techniczne i organizacyjne (np. sposób gromadzenia danych), które pozwolą właściwie przeprowadzić proces. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dyrektor przed jego rozpoczęciem dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Zgodnie z art. 35 ust. 7 RODO ocena powinna zawierać: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania; ocenę, czy operacje te są niezbędne oraz proporcjonalne w stosunku do celów; ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; środki planowane w celu zaradzenia ryzyku. Przy czym analizę ryzyka w instytucji kultury można przeprowadzić np. w oparciu o znane i regularnie stosowane narzędzia w ramach kontroli zarządczej. W ramach oszacowanego ryzyka – tak jak w przypadku innych procesów szacowanych przy kontroli zarządczej – dyrektor podejmuje decyzję w odniesieniu do ryzyka i o ile nie jest ono przez niego akceptowane, wdraża działania minimalizujące, np. dodatkowe procedury, zabezpieczenia, skorzystanie z usług profesjonalnego podwykonawcy. Podkreślić należy, że wszystkie działania muszą być dokumentowane – dyrektor instytucji kultury musi być w stanie udowodnić, że dane są przetwarzane z zachowaniem należytej staranności.
5. WERYFIKACJA DOKUMENTACJI, PROCEDUR, ZABEZPIECZEŃ
Ogólne rozporządzenie o ochronie danych osobowych to nie rewolucja, to ewolucja dotychczasowego, sztywnego podejścia. Zamiast jasnych, z góry określonych zasad i procedur, RODO daje dużą swobodę w zakresie doboru odpowiednich środków. Wielu dyrektorów instytucji kultury wolałoby tradycyjne rozwiązanie: jasne wytyczne, po których spełnieniu mogą spać spokojnie, że działają w zgodzie z przepisami. Nowe przepisy nie dają im tego komfortu. Najważniejsze – w myśl RODO – jest zapewnienie poufności przetwarzanych danych. Wszelkimi możliwymi i dostępnymi sposobami. Ponieważ zagrożenia dla bezpieczeństwa informacji, szczególnie przetwarzanych elektronicznie, drastycznie zwiększają się wraz z postępem technologii oraz wzrostem wartości, jaką mają dane osobowe, sztywne wytyczne nie zdają już egzaminu. Dają jedynie złudzenie zapewnienia poufności. W celu weryfikacji gotowości do spełnienia nowych wymagań instytucja kultury powinna dokonać aktualizacji dotychczasowej dokumentacji bezpieczeństwa, przede wszystkim rozszerzając ją o rejestr czynności przetwarzania oraz nowe procedury. Wśród procedur, które powinny dołączyć do dotychczasowej dokumentacji, powinna w szczególności znaleźć się polityka postępowania w sytuacji naruszenia poufności przetwarzania danych, w tym wzór zawiadomienia organu nadzoru oraz zasady zawiadamiania osób, których dane dotyczą. Dyrektor powinien jak najszybciej podjąć działania zmierzające do wyznaczenia inspektora ochrony danych i wdrożenia go we wszystkie procesy przetwarzania danych. W celu zapewnienia skutecznego wsparcia inspektor powinien rozpocząć swoje działania od przeprowadzania audytu zgodności dotychczasowych procesów z przepisami RODO. Jednocześnie należy sięgnąć do opublikowanych przez generalnego inspektora ochrony danych osobowych wytycznych z 28 marca br. w zakresie procesów przetwarzania, które wymagają dokonania oceny zgodności przetwarzania. Wśród takich działań na pewno jest przetwarzanie danych osobowych czytelników bibliotek, które wymagają szczególnej ochrony. Dyrektorzy instytucji kultury powinni także dokonać oceny ryzyka związanego z publikacją wizerunków uczestników imprez, w szczególności małoletnich. Zgodnie z motywem 38 RODO: „Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych”. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych. Publikowanie wizerunków uczestników na stronie internetowej instytucji jak najbardziej stanowi działanie promocyjne i podlega restrykcjom RODO. Dyrektor musi mieć świadomość, że powinien pozyskać zgodę na przetwarzanie danych osobowych, w tym wizerunków od uczestników wydarzeń, przede wszystkim od rodziców lub opiekunów prawnych dzieci. To na nim ciąży obowiązek udowodnienia, że zgoda była świadoma i skuteczna.
WAŻNE
Dyrektor musi mieć świadomość, że powinien pozyskać zgodę na przetwarzanie danych osobowych, w tym wizerunków, od uczestników wydarzeń, przede wszystkim od rodziców lub opiekunów prawnych dzieci. To na nim ciąży obowiązek udowodnienia, że zgoda była świadoma i skuteczna.
Powinien też wdrażać działania organizacyjne oraz stosować środki techniczne minimalizujące ryzyko naruszenia poufności. Jeżeli bowiem do niego dojdzie, instytucja może ponieść najwyższe, przewidziane w przepisach kary. Warto pamiętać, że najsłabszym ogniwem każdego systemu zarządzania bezpieczeństwem informacji są ludzie. Dlatego podnoszenie ich świadomości w zakresie odpowiednich działań jest jednym z ważniejszych elementów pozwalających wykazać dopełnienie należytej staranności, jeśli chodzi o zapewnienie poufności informacji. Każdemu pracownikowi instytucji kultury powinno towarzyszyć poczucie, że ich działanie to nie tylko kwestia spełnienia obowiązków wynikających z przepisów. Przede wszystkim ma to służyć świadczeniu usług na najwyższym poziomie oraz dać poczucie bezpieczeństwa osobom, których dane są przez nich przetwarzane.