Artykuły eksperckie

RODO w administracji publicznej – o czym powinieneś pamiętać?

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Opublikowano:

Przetwarzanie danych osobowych to procesy realizowane na bardzo szeroką skalę zarówno przez organizacje prywatne, jak i instytucje publiczne. W przypadku podmiotów sektora publicznego przestrzeganie zasad RODO jest jednak szczególnie istotne. Świadczy nie tylko o legalności działania władzy, ale także poszanowaniu obywateli. Jak powinna wyglądać ochrona danych osobowych w instytucjach publicznych?

Czego dowiesz się z tego artykułu:

  • Instytucje publiczne są zobowiązane do stosowania przepisów RODO.
  • Unijne przepisy przewidują szereg odstępstw w zakresie przetwarzania danych osobowych, m.in. w zakresie podstaw przetwarzania, czy obowiązku informacyjnego.
  • W razie incydentu konieczne jest zachowanie odpowiednich procedur bezpieczeństwa.
  • W celu zapewnienia zgodności z prawem działań administracji publicznej należy regularnie przeprowadzać audyty RODO i szkolić pracowników.

Przestrzeganie zasad przetwarzania danych osobowych

Organ administracji publicznej musi pamiętać o przestrzeganiu wszystkich zasad, jakie rządzą przetwarzaniem danych osobowych. W szczególności zaś chodzi o:

  • zgodność z prawem, rzetelność i przejrzystość,
  • ograniczenie celu przetwarzania danych osobowych,
  • minimalizację danych osobowych, które są przetwarzane,
  • zapewnienie prawidłowości przetwarzanych danych osobowych,
  • ograniczenie przechowywania danych osobowych,
  • zachowanie integralności i poufności danych osobowych.

Wykazanie tych zasad jest niezbędne, aby podmiot dokonujący przetwarzania danych osobowych mógł odwołać się do zasady rozliczalności i uniknąć sankcji za naruszenie obowiązującej regulacji.

Na jakich podstawach organ administracji publicznej może przetwarzać dane osobowe?

Aby móc zgodnie z prawem przetwarzać dane osobowe, organ administracji publicznej musi wykazać przynajmniej jedną z przesłanek legalności. W dużej mierze wyglądają one bardzo podobnie, jak w przypadku wszystkich innych podmiotów. Wśród podstaw legalizacyjnych zgodnie z art. 6 RODO należy wymienić:

  • zgodę osoby, której dane dotyczą,
  • konieczność wykonania umowy,
  • konieczność wypełnienia obowiązku prawnego spoczywającego na administratorze,
  • ochrona żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
  • wykonywanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Trzeba pamiętać, że organy władzy publicznej nie mogą jednak powołać się na uzasadniony interes administratora, czyli swego rodzaju przesłankę-wytrych, która niekiedy może stanowić podstawę do przetwarzania danych osobowych.

Zarządzanie danymi osobowymi w organach władzy publicznej często będzie przybierało formę współadministrowania, jak np. współpraca Inspektora GIIF z prokuraturą, czy ZUS z urzędem skarbowym, co wynika bezpośrednio z treści przepisów. W takiej sytuacji przydatne bywa zawarcie porozumienia, o którym mowa w art. 26 RODO. Określa się w nim cele i sposoby przetwarzania danych oraz szczegółowe zakresy odpowiedzialności i realizacji praw względem osób, których dane dotyczą.

Sprawdź również: Zgoda na przetwarzanie danych osobowych według RODO

W jaki sposób organ władzy publicznej powinien zabezpieczyć dane osobowe?

Stosownie do brzmienia art. 32 RODO administrator danych osobowych powinien zadbać o należyte zabezpieczenie danych osobowych, uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Mając na względzie, że publiczne systemy informatyczne z reguły przechowują olbrzymie ilości danych, poziom zabezpieczeń powinien być szczególnie wysoki. Oczywiście nie chodzi wyłącznie o samo szyfrowanie, czy anonimizację danych, ale też różnego rodzaju działania na etapie projektowania infrastruktury IT. Powinny one realizować filozofię privacy by design i privacy by default.

Szczególną uwagę trzeba zwrócić na:

  • ciągłość, odporność i dostępność przetwarzania tak, aby dane były należycie chronione przez cały okres świadczenia usług, a także po ich ustaniu w czasie retencji danych,
  • możliwość szybkiego przywrócenia dostępu do danych osobowych w razie incydentu, np. ataku hakerskiego,
  • regularne testowanie i pomiar skuteczności wdrożonych zabezpieczeń poprzez wdrażanie audytów RODO.

Realizację audytu RODO najlepiej powierzyć zewnętrznej organizacji, np. kancelarii prawnej, która specjalizuje się w świadczeniu pomocy prawnej w danym zakresie.

Jak często przeprowadzać audyty RODO?

Audyty z zakresu RODO powinny być realizowane cyklicznie, np. raz w roku, a także za każdym razem, kiedy administrator podejmie działania, które mogą w istotny sposób wpłynąć na bezpieczeństwo lub integralność danych osobowych. Takim działaniem będzie np. wdrożenie nowego systemu teleinformatycznego.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Jakie obowiązki spoczywają na inspektorze danych osobowych w organie administracji publicznej?

Jednym z obowiązków organu władzy publicznej jest konieczność powołania inspektora ochrony danych osobowych. To osoba, która odpowiada za zgodność wewnętrznych procesów z rozporządzeniem RODO. Inspektor zajmuje niezależne stanowisko, a jego zadaniem jest monitorowanie sytuacji w organizacji, zmian w prawie i wytycznych organu nadzorczego oraz przygotowywanie odpowiednich sugestii i propozycji zmian w procesach.

Inspektor odpowiada też za edukację pracowników i kontakt z organami nadzoru w razie kontroli lub zgłoszenia incydentu.

Podobnie jak w przypadku audytów, funkcję IOD warto powierzyć osobie pozostającej w stosunku outsourcingu względem organizacji. Jest ona w stanie przeanalizować sytuację w sposób obiektywny, a nierzadko działa efektywniej, niż klasyczna, „etatowa” komórka.

Czy organ administracji publicznej ma obowiązek wyznaczyć inspektora ochrony danych osobowych?

Tak, zgodnie z art. 37 ust. 1 lit a RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują organ lub podmiot publiczny, Obowiązek ten nie dotyczy jedynie sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Czy organ władzy publicznej zawsze musi zawiadamiać o przetwarzaniu danych osobowych?

Pewną odmiennością w zakresie przetwarzania danych osobowych przez organy władzy publicznej jest brak konieczności informowania o każdorazowym przetwarzaniu informacji. Jak wskazano w motywie 31 rozporządzenia, organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej, nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego.

W praktyce więc jeśli organ administracji publicznej pozyskał dane pośrednio, nie zawsze będzie musiał informować o celu ich przetwarzania. Wynika to także wprost z przepisów ustawy o ochronie danych osobowych, gdzie wskazano, że brak obowiązku informacyjnego dotyczy sytuacji, kiedy zmiana celu przetwarzania służy realizacji celu przetwarzania.

Co organ władzy publicznej powinien zrobić w razie incydentu RODO?

Pomimo najnowszych metod zabezpieczeń i wyszkolonego personelu, może dojść do tzw. incydentu, czyli naruszenia bezpieczeństwa lub integralności danych osobowych. W takiej sytuacji należy w ciągu 72 godzin od wykrycia naruszenia zgłosić go do Urzędu Ochrony Danych Osobowych.

Aby ograniczyć skutki incydenty i przygotować się do postępowania przez PUODO, trzeba zabezpieczyć wszelkiego rodzaju materiały, które mogą stanowić dowód naruszenia i prób przeciwdziałania mu (np. logi z serwerów, screenshoty ekranów). W miarę możliwości należy ograniczyć wykorzystanie sprzętu, który doprowadził do wycieku danych.

Niekiedy może pojawić się potrzeba zawiadomienia osób, których dane dotyczą, o incydencie.

Żadnej próby naruszenia integralności danych nie należy bagatelizować. Stosowne zgłoszenie powinno być złożone do organów ścigania, jeśli okoliczności zdarzenia wskazują, że mogło dojść do popełnienia przestępstwa.

Duże znaczenie ma edukacja pracowników, którzy powinni wiedzieć, jak reagować na podejrzane sytuacje. Dzisiaj najczęstszym sposobem na wykradzenie danych są ataki hakerskie, jak phishing, czy zainfekowanie komputera złośliwym oprogramowaniem. Odpowiedzialne korzystanie ze sprzętu komputerowego i oprogramowania pozwala zredukować ryzyko naruszeń bezpieczeństwa.

Sprawdź również: Naruszenie RODO – czym jest i komu należy je zgłosić?

Wdrożenia, audyty i obsługa RODO – Kancelaria After Legal

Wdrożenie RODO w organizacji prywatnej lub publicznej to duże wyzwanie. Aby zapewnić ciągłość ochrony danych osobowych i mieć pewność, że działa ona w zgodzie z prawem, warto zlecić audyt oraz zaimplementowanie odpowiednich procedur profesjonalistom.

Zespół Kancelarii After Legal to doświadczeni prawnicy specjalizujący się w ochronie danych osobowych. Przeprowadzimy badanie stanu ochrony danych osobowych w organizacji, zaprojektujemy niezbędne procesy i zasugerujemy zmiany, które zwiększą bezpieczeństwo. Jak możemy Ci pomóc?

  • dokładna analiza RODO w organizacji,
  • opracowanie dokumentacji,
  • monitoring zmian w przepisach i doradztwo w zakresie przemodelowania procesów wewnętrznych,
  • szkolenie pracowników w przedmiocie odpowiedzialnego przetwarzania danych osobowych.