zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

RODO obowiązkowe również dla administracji publicznej

RODO obowiązkowe również dla administracji publicznej

16 kwietnia 2018

RODO obowiązkowe również dla administracji publicznej


Wchodzące w życie 25 maja br. unijne Rozporządzenie o Ochronie Danych Osobowych obejmie nie tylko przedsiębiorstwa. Jednostki sektora finansów publicznych, w tym administracja samorządowa i podległe im podmioty – m.in. szkoły, przedszkola, ośrodki pomocy społecznej, szpitale i ośrodki zdrowia – także muszą dostosować się do nowych przepisów.



Sage

Spełniasz
wymogi
RODO?

Sprawdź



Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 (RODO) zmieni obowiązujące w Polsce uwarunkowania prawne w zakresie przetwarzania danych osobowych przez podmioty gospodarcze i administrację publiczną. RODO jako ponadnarodowy uniwersalny przepis ujednolici na terenie całej UE zasady przetwarzania danych osobowych zarówno w sektorze przedsiębiorstw, jak i w administracji publicznej. W Polsce obejmie ono wszystkie podmioty, które w jakikolwiek sposób przetwarzają dane osobowe – z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.



Inspektor Danych Osobowych – nowy ważny obowiązek dla administracji

Jedną z najważniejszych zmian wynikających z RODO dla organów lub podmiotów publicznych jest konieczność powołania Inspektora Danych Osobowych (IDO). Obowiązek ten wynika wprost z przepisów (art. 37 ust. 1). Zawarta w RODO definicja („organy lub podmioty publiczne”) wskazująca, kto powinien powołać IDO, jest nieostra. Na pewno jednak muszą to zrobić jednostki administracji publicznej i samorządy terytorialne, w tym podległe im placówki sektora finansów publicznych: szkoły i przedszkola, ośrodki pomocy społecznej, ośrodki zdrowia, szpitale itd., które w codziennej pracy przetwarzają dane osobowe na dużą skalę, a do tego niejednokrotnie są to dane wrażliwe dotyczące zdrowia, dzieci czy sytuacji materialnej.


Rolą IDO jest z jednej strony monitorowanie działań administratora danych osobowych i współpraca z organem nadzorczym, z drugiej – wsparcie w zakresie zasad, narzędzi i środków organizacyjnych wdrażanych w organizacji. Z punktu widzenia administracji publicznej istotne jest to, że wybrana do pełnienia funkcji IDO osoba nie musi być zatrudniona na wyłączność, ponieważ jeden inspektor może obsługiwać równocześnie kilka organizacji. Przy wyborze IDO kluczowe są kompetencje i kwalifikacje pozwalające skutecznie realizować obowiązki wynikające z przepisów RODO i znowelizowanej Ustawy o ochronie danych osobowych. RODO umacnia i poszerza rolę IDO w stosunku do zakresu obowiązków i roli wyznaczonej dla Administratorów Bezpieczeństwa Informacji przez dotychczas obowiązujące przepisy (art. 39 RODO).






Czy administracja jest gotowa na RODO?

Jest wielce prawdopodobne, że do 25 maja jednostki administracji publicznej, samorządów i podległych im placówek nie będą w pełni gotowe do działania zgodnie z RODO. Podobnie jak w sektorze prywatnym, w którym według różnych raportów szacuje się, że pełną gotowość uzyska od 15 do 25% firm. Warto przypomnieć raport Najwyższej Izby Kontroli „Wdrażanie wybranych wymagań dotyczących systemów teleinformatycznych, wymiany informacji w postaci elektronicznej (…) na przykładzie niektórych urzędów gmin miejskich i miast na prawach powiatu” opublikowany w 2014 r. W publikacji NIK negatywnie ocenił działania burmistrzów i prezydentów miast w zakresie zarządzania bezpieczeństwem informacji w urzędach. W 21 z 24 miast stwierdzono nieprawidłowości, a aż sześć urzędów oceniono negatywnie. W raporcie znalazły się następujące zastrzeżenia:


  • brak całościowej Polityki Bezpieczeństwa Informacji,
  • niewłaściwe zarządzanie uprawnieniami użytkowników w zakresie dostępu do systemów informatycznych,
  • brak audytów wewnętrznych pozwalających nie tylko stwierdzić nieprawidłowości czy luki w systemach zabezpieczeń, ale też optymalizować stosowane polityki bezpieczeństwa,
  • brak w umowach na zakup lub serwis sprzętu IT gwarancji bezpieczeństwa poufności informacji uzyskanych przez wykonawców tych umów.

Pozostałe zastrzeżenia dotyczyły niedostatecznych zabezpieczeń w pracy na odległość i w tworzeniu kopii zapasowych, braku analiz realnych zagrożeń, metod inwentaryzacji oraz niedoboru szkoleń.


Aż w 91,7% kontrolowanych urzędach podstawowym sposobem dokumentowania przebiegu rozpatrywania i rozstrzygania spraw był system tradycyjny (papierowy). Tylko w dwóch przypadkach podstawowym sposobem był system informatyczny.


Jak widać przed administracją, podobnie jak przed firmami, stoi szereg wyzwań związanych ze skutecznym wdrożeniem organizacyjnych środków, procedur i polityk bezpieczeństwa oraz z zabezpieczeniem funkcjonujących systemów informatycznych przed naruszeniami danych. Wyzwaniem będzie również dostosowanie się do wypełniania obowiązków informacyjnych względem osób, od których pobierane są dane – przygotowanie nowych klauzul oraz wdrożenie narzędzi pozwalających skutecznie ograniczyć przetwarzanie lub usunąć dane na żądanie osoby w sytuacjach, gdy będzie miała do tego prawo. Dla przykładu: szkoła pozyskując zgody na wykorzystanie wizerunku dzieci lub rodziców musi być również gotowa na usunięcie tego rodzaju danych w sytuacji wycofania zgody przez rodzica.


W administracji wielokrotnie mniejsza odpowiedzialność

Warto zauważyć, że w projekcie nowelizowanej Ustawy o ochronie danych osobowych Ministerstwo Cyfryzacji wprowadziło wielokrotnie niższe kary finansowe dla administratorów należących do sektora finansów publicznych. W odróżnieniu od sektora prywatnego, gdzie kary mogą sięgać nawet 20 mln euro, w administracji wprowadzono dwa poziomy maksymalnych kar (art. 103 Ustawy):

  • kara do 100 tys. zł może być nałożona na administratorów sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 Ustawy z dn. 27 sierpnia 2009 r. o finansach publicznych,
  • kara do 10 tys. zł dotyczy jednostek sektora finansów publicznych wskazanych w art. 9 pkt 13 ww. Ustawy.


/*gatedcontent/