Ochrona danych w sektorze publicznym

W polskim porządku prawnym wprowadzane przez RODO zasady ochrony danych osobowych doprecyzowuje nowa ustawa o ochronie danych osobowych z 10 maja 2018 r., która obowiązuje już od 25 maja 2018 r. Nowe przepisy przewidują m.in. wysokie kary pieniężne za nieprzestrzeganie przepisów RODO, większe obowiązki administratora danych osobowych, szerokie uprawnienia dla osób, których dane dotyczą, a także nową rolę inspektora ochrony danych (następca dotychczasowego administratora bezpieczeństwa informacji – ABI). Wszystkie te zagadnienia znajdują pełne zastosowanie do instytucji administracji publicznej, wszystkie one na co dzień administrują i przetwarzają bowiem rozmaite dane osobowe.

 

WAŻNE

Obowiązkiem podmiotu przetwarzającego jest prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu instytucji publicznej (administratora). Procesor ma również obowiązek udostępnić taki rejestr na żądanie Prezesa UODO, a także wyznaczyć inspektora ochrony danych, jeśli zaistnieje przynajmniej jeden z czynników, o których stanowi art. 37 ust. 1 RODO. Podmiot przetwarzający powierzone dane osobowe ma obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. RODO wprowadza zasadę bezpośredniej odpowiedzialności procesora za nałożone na niego obowiązki z zakresu ochrony danych osobowych. Procesor musi m.in. wdrażać stosowne środki techniczne i organizacyjne, prowadzić rejestr czynności przetwarzania, w konkretnych okolicznościach wyznaczyć inspektora ochrony danych, spełnić te same wymagania przekazywania danych do państw trzecich jak administrator czy powiadamiać administratora o naruszeniach ochrony danych. Prezes UODO może egzekwować stosowanie RODO bezpośrednio w stosunku do przetwarzającego. Działający w imieniu instytucji publicznej procesor bezpośrednio odpowiada za nałożone na niego obowiązki z zakresu ochrony danych osobowych.

RODO wyraźnie podkreśla, że jeżeli podmiot przetwarzający naruszy zasady rozporządzenia przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania (co nie wyklucza stosowania przepisów art. 82, 83 i 84 dotyczących sankcji, kar, odszkodowań i odpowiedzialności). Oznacza to przykładowo, że jeśli dana instytucja publiczna powierzy dane, które zgromadziła, innej instytucji, a ta zmieni pierwotny cel przetwarzania i inaczej wykorzysta te dane, to ta druga instytucja stanie się dodatkowym administratorem danych. Taki stan obowiązywał już wcześniej, ale nie jako bezpośredni zapis prawny, a efekt interpretacji przepisów. To kolejny przykład na to, że przystępny język, w jakim napisano rozporządzenie, ułatwia wyjaśnienie i uregulowanie niejasnych i wymagających wcześniej interpretacji kwestii. Dostosowując się do nowych przepisów, instytucje publiczne powinny przeprowadzić inwentaryzację wszystkich przypadków powierzenia przetwarzania danych, zapewnić, że są w formie umowy na piśmie (możliwa jest też forma elektroniczna) oraz ocenić, w jakim stopniu regulują kwestie zdefiniowane przez RODO. Jeśli okaże się, że umowy nie zawierają wszystkich wymaganych elementów, powinny zostać zmienione (aneksowane).

 

Kim ma być Inspektor Ochrony Danych

IOD zamiast ABI

RODO zastępuje administratora bezpieczeństwa informacji (dalej ABI) inspektorem ochrony danych (dalej IOD). Zastąpienie ABI przez IOD nie polega tylko na nowym „tytule”. Istotnym zmianom ulegną bowiem wymagania, jakie ma spełniać IOD oraz sytuacje, w których konieczne będzie jego wyznaczenie. Wszystkie instytucje publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości) – jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski – będą miały obowiązek wyznaczenia inspektora ochrony danych.

Z wytycznych dotyczących inspektorów ochrony danych (opracowanych przez Grupę Roboczą Art. 29) dowiadujemy się m.in., że:

  • jeśli z przepisów nie wynika, że trzeba wyznaczyć IOD, to warto udokumentować taką decyzję,
  • można dobrowolnie wyznaczyć IOD, nawet jeśli takiego obowiązku nie ma,
  • IOD powinien brać udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji,
  • zaleca się inspektorowi „ustalanie priorytetów w swojej pracy i koncentrowanie się na aspektach pociągających za sobą większe ryzyko”.
 

Wymogi wobec IOD

Inspektor ochrony danych może mieć również obowiązki niezwiązane z ochroną danych osobowych. Wytyczne Grupy Roboczej art. 29 podkreślają, że „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. Oznacza to, że inspektor nie może zajmować w instytucji stanowiska, które pociąga za sobą określanie sposobów i celów przetwarzania danych. Za powodujące konflikt interesów uważane będą m.in. stanowiska  kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT). Oznacza to, że większość dyrektorów, którzy mają coś wspólnego z przetwarzaniem danych, nie może być inspektorami ochrony danych. WAŻNE Funkcji IOD nie będą mogły pełnić osoby zajmujące stanowiska kierownicze, które mają coś wspólnego z przetwarzaniem danych. Instytucja publiczna lub podmiot przetwarzający dane w jej imieniu będą mieli obowiązek publikować dane kontaktowe inspektora ochrony danych i zawiadomić o nich organ nadzorczy. To akurat nie jest żadną nowością, gdyż dotychczas również należało zgłosić ABI do rejestracji w GIODO. Informacje o sposobie kontaktu z IOD też trzeba będzie podawać podczas zbierania danych osobowych. Zgodnie z RODO osoby, których dane są przetwarzane w instytucji, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych oraz z korzystaniem z przysługujących im praw.

Jakie mogą być konsekwencje naruszenia przepisów

Wysokie kary finansowe Za niestosowanie lub naruszenie zasad przewidzianych w RODO instytucje będą karane bardzo wysokimi grzywnami, które w przypadku urzędów i instytucji publicznych mogą wynosić do 100 tys. złotych (w przypadku jednostek kultury kara może wynieść maksymalnie 10 tys. zł) – takie obniżenie wysokości kar przewidzianych przez RODO wprowadziła nowa ustawa o ochronie danych osobowych w art. 102.

Za jakie naruszenia można otrzymać karę

  • Wysokość kary – jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski – do 100 tys. zł, Instytucje kultury – do 10 tys. zł
  • Treść naruszeń:
    • Złamanie zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych design / by default),
    • naruszenia w przetwarzaniu danych z upoważnienia administratora danych lub podmiotu przetwarzającego,
    • naruszenia w zakresie rejestracji czynności przetwarzania
    • złamanie zasad współpracy z organem nadzorczym
    • złamanie zasad bezpieczeństwa danych
    • złamanie zasad przetwarzania danych osobowych,
    • naruszenia w dostępie di danych dla osób, których dane są przetwarzane,
    • złamanie prawa osób do korygowania i usuwania przetwarzanych danych,

Przykłady zaniedbań podlegających grzywnie:

  • administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę osób, których dane dotyczą,
  • administrator nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego),
  • administrator nie zgłosił incydentu w ciągu 72h po stwierdzeniu naruszenia organowi nadzorczemu, a incydent ten skutkował naruszeniem praw lub wolności osób fizycznych.

W większych instytucjach konieczne może okazać się rozbudowanie zespołów bezpieczeństwa informacji i zarządzania incydentami, szczególnie w świetle obowiązku prowadzenia rejestru incydentów oraz raportowania tych poważniejszych do organu nadzorczego (Prezesa UODO). Konieczne będzie wdrożenie i przetestowanie procedur postępowania w sytuacjach kryzysowych, np. w przypadku wycieku danych. To o tyle ważne, że do ustalenia wysokości kary organ nadzorczy będzie brał pod uwagę wiele czynników, m.in. sposób, w jaki dane były zabezpieczone na poziomie technicznym lub organizacyjnym oraz jakie działania zostały podjęte, żeby zminimalizować szkody. W uzasadnieniu do ustawy podkreśla się, że organ nadzorczy powinien przywiązywać ogromne znaczenie do zebrania w toku postępowania dowodów przemawiających nie tylko za wymierzeniem administracyjnej kary pieniężnej, ale również wymierzeniem kary o takiej, a nie innej wysokości.

źródło: internet, experto24, odo