RODO w samorządach: nowy system ochrony danych osobowych

Nowe przepisy nakazują, by inspektor ochrony danych miał wiedzę o każdym projekcie, przetargu, systemie lub innej sprawie, w których od samego początku trzeba uwzględniać wymogi ochrony danych osobowych.

Publikacja: 07.08.2018 07:00

RODO w samorządach: nowy system ochrony danych osobowych

Foto: 123RF

Rz: Od 25 maja 2018 roku zaczęliśmy stosowanie unijnego rozporządzenia o ochronie danych (RODO). Kim w urzędach samorządowych są aktualnie administratorzy, a kim inspektorzy ochrony danych?

Monika Młotkiewicz dyrektor, Zespołu ds. Współpracy z Administratorami Danych w Urzędzie Ochrony Danych Osobowych: Administratorami danych są wszystkie podmioty publiczne i prywatne, które w swojej działalności wykorzystują dane osobowe. Z tego tytułu są za nie odpowiedzialne. Natomiast inspektor ochrony danych, tak jak wielu innych inspektorów, np. bhp., sprawdza i ocenia wykonanie obowiązków wynikających z przepisów prawa. IOD doradza też kierownictwu gminy czy powiatu oraz pracownikom urzędów, w jaki sposób wywiązywać się z obowiązków prawnych dotyczących ochrony danych osobowych.

Czytaj także: RODO - obowiązki jednostek samorządu terytorialnego

Czy nie rodzą się wątpliwości co do roli obu funkcji?

– Wątpliwości pojawiają się, gdy nie mamy pełnego rozeznania, na czym polega rola inspektora i staramy się przerzucić na tę osobę realizację obowiązków administratora danych, czyli całej instytucji. Inspektor ma sygnalizować sytuacje nieprawidłowe i podpowiadać, jak je naprawić oraz doradzać w przypadku zgłaszanych mu problemów. Za ochronę danych osobowych i realizację obowiązków wynikających z przepisów o ochronie danych osobowych muszą czuć się odpowiedzialni wszyscy pracownicy, każdy na swoim odcinku pracy. Kierownik jednostki musi zapewnić, żeby tak właśnie było. Pełną odpowiedzialność za zgodne z prawem przetwarzanie danych ponosi jednak administrator.

Czym się różni rola inspektora ochrony danych sprzed RODO od tej obecnej?

– Zmieniła się nie tylko nazwa takiej osoby, bo zamiast administratora bezpieczeństwa informacji (ABI) mamy inspektora ochrony danych (IOD). Przede wszystkim bowiem został wzmocniony jego status prawny. Nowy, skuteczniejszy system ochrony danych osobowych jest bowiem oparty na założeniu stałej współpracy między inspektorem a organami nadzorczymi. Inspektor ma ponadto efektywnie pomagać administratorowi w zrozumieniu RODO i we wdrożeniu nowych obowiązków. Jednocześnie pełni też rolę pośrednika między osobami, których dane dotyczą, a administratorem danych, po to, aby w sytuacjach problematycznych udzielić fachowej pomocy. Jednym z najważniejszych przejawów wzmocnienia roli IOD jest to, że prawodawca unijny przesądził, iż obowiązek wyznaczenia takiej osoby ma obecnie wiele podmiotów, w tym wszystkie podmioty publiczne, tj. gminy, powiaty, województwa.

Inspektor podlega bezpośrednio administratorowi, czyli wójtowi, burmistrzowi, staroście czy marszałkowi województwa albo też kierownikowi jednostki budżetowej samorządu, np. dyrektorowi szkoły. Inspektora nie należy obciążać zadaniami, które utrudniałyby mu wykonywanie jego obowiązków lub powodowały konflikt interesów. Nowe przepisy nakazują, by IOD miał zawsze wiedzę o każdym projekcie, przetargu, systemie lub innej sprawie, w których od samego początku trzeba uwzględniać wymogi ochrony danych osobowych. Zapewnia się mu również ochronę przed niesłusznym zwolnieniem z pracy lub innymi negatywnymi konsekwencjami wynikającymi z wykonywania jego trudnej roli i sygnalizowania nieprawidłowości.

Czy urzędy samorządowe potrafią wyznaczyć inspektora ochrony danych?

— Mamy różne pytania z urzędów miast czy gmin, np. czy funkcję inspektora może pełnić pracownik obciążony innymi obowiązkami. Czy nie zachodzi konflikt interesów w takich przypadkach? Czy funkcję tę może pełnić np. zastępca wójta? Odpowiadamy, że na tę funkcję powinna być wyznaczona osoba, która nie podejmuje decyzji co do celów przetwarzania danych i że nie można doprowadzać do sytuacji, w której ta sama osoba, np. zastępca wójta, kieruje jednostką będącą administratorem danych i jednocześnie ocenia swoją działalność pod kątem zgodności z przepisami o ochronie danych osobowych. Czyli kontroluje sam siebie. Dużo pytań dotyczy kwestii, jak wiele jednostek budżetowych samorządu terytorialnego może obsługiwać jeden inspektor. RODO przewiduje możliwość wyznaczenia jednego inspektora dla kilku jednostek publicznych, np. dla kilku szkół i jednocześnie dla urzędu miasta. Trzeba jednak przemyśleć taką decyzję, bo może się okazać, że wielkość tych podmiotów i liczba problemów związanych z ich funkcjonowaniem przerośnie możliwości inspektora. Dodajmy, że jeśli administrator powoła na inspektora osobę obsługującą już kilka innych jednostek, to najlepiej, żeby były to jednostki o podobnym charakterze działalności, w którym dany IOD się specjalizuje. ?

Czy stanowisko inspektora powinno być łatwo dostępne dla obywatela, np. usytuowane w sali obsługi mieszkańców?

– W przypadku urzędu gminy inspektor, który w swoich zadaniach ma pośrednictwo między obywatelem a administratorem, mógłby np. w określonym czasie pełnić dyżur i udzielać wyjaśnień. RODO nie wskazuje tutaj konkretnych rozwiązań. Mieszkańcy mają prawo kontaktować się z inspektorem w swoich sprawach, a rolą urzędu jest zapewnić im ten kontakt oraz skuteczną realizację ich uprawnień z zakresu ochrony danych osobowych. Zdarza się, że inspektor przyjmuje określoną prośbę, wniosek np. w zakresie żądania usunięcia danych, ale przekazuje ją do załatwienia do właściwej komórki organizacyjnej, w której przetwarzane są dane określonej osoby, np. do wydziału komunikacji. Powinien jednak dopilnować, aby w urzędzie działały skuteczne procedury zapewniające udzielenie odpowiedzi na każdy taki wniosek.

Co zrobić, gdy inspektor urzęduje w części zamkniętej dla mieszkańców i mogą wejść do niego po wylegitymowaniu dowodem?

– Dużo lepiej byłoby, aby zapewnić takie rozwiązania, w których stanowiska do obsługi interesantów (w tym dyżury IOD), znajdowały się w strefie budynku, do której dostęp nie wymaga okazywania dowodu osobistego. Niemniej wydzielanie w urzędach stref z ograniczonym dostępem w określonych przypadkach może być uzasadnione wymogami dotyczącymi ochrony osób i mienia. I wtedy okazanie dowodu osobistego może być konieczne. Jest to bowiem dokument, który potwierdza naszą tożsamość. O ile jego okazanie może być uzasadnione, to z całą pewnością nie należy pozostawiać go bez nadzoru lub zgadzać się na jego kserowanie, by nie stwarzać pola do nadużyć. ?

—rozmawiała: Maria Weber

Rz: Od 25 maja 2018 roku zaczęliśmy stosowanie unijnego rozporządzenia o ochronie danych (RODO). Kim w urzędach samorządowych są aktualnie administratorzy, a kim inspektorzy ochrony danych?

Monika Młotkiewicz dyrektor, Zespołu ds. Współpracy z Administratorami Danych w Urzędzie Ochrony Danych Osobowych: Administratorami danych są wszystkie podmioty publiczne i prywatne, które w swojej działalności wykorzystują dane osobowe. Z tego tytułu są za nie odpowiedzialne. Natomiast inspektor ochrony danych, tak jak wielu innych inspektorów, np. bhp., sprawdza i ocenia wykonanie obowiązków wynikających z przepisów prawa. IOD doradza też kierownictwu gminy czy powiatu oraz pracownikom urzędów, w jaki sposób wywiązywać się z obowiązków prawnych dotyczących ochrony danych osobowych.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe