RODO w samorządach

W ochronie danych osobowych urzędy muszą przeskoczyć nawet dwa poziomy.

Zdobądź wiedzę i umiejętności praktyczne z tematyki ochrony danych osobowych i RODO.

https://www.ksoin.pl/szkolenia/rodo-ochrona-danych-osobowych/

W przypadku samorządów cały czas mówimy o tzw. długu technologicznym. Część z nich nie jest jeszcze dostosowana w pełni do wymogów ustawy o ochronie danych osobowych z 1997 r. i to wydaje mi się najtrudniejsze – mówi dr Maciej Kawecki, koordynator krajowej reformy ochrony danych osobowych z Ministerstwa Cyfryzacji.

O tym, jak z ochroną danych sobie radzą samorządy i jakie uprawnienia zyska obywatel w rozmowie z zastępcą dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, który koordynuje prace nad wdrażaniem RODO w Polce.

Samorządy twierdzą, że są w trakcie dostosowywania wewnętrznej polityki bezpieczeństwa przetwarzania danych osobowych do tego rozporządzenia. Zdążą do maja przyszłego roku?

Maciej Kawecki: Powiem tak – zostało nam mamy bardzo mało czasu, bo RODO wymusza zmianę systemów informatycznych, a te zmienia się długo, do tego jest to proces jest koszto- i czasochłonny.

To zakupy nowego oprogramowania, sprzętu, ale to też zmiana organizacji i mentalności, sposobu podejścia do ochrony danych osobowych. Już nie dostaniemy klucza zabezpieczeń, czyli tego, jak zabezpieczać dane osobowe od a do z – o tym, jak zabezpieczać dane osobowe, będzie musiał zdecydować dany organ, samorząd. W związku z tym, to ostatni dzwonek żeby dokonywać zmian.

Co pana zdaniem może być najtrudniejsze dla samorządów, co najbardziej kuleje?

– W przypadku samorządów obawiam się, że cały czas mówimy o tzw. długu technologicznym. Część samorządów nie jest jeszcze w pełni dostosowana do wymogów ustawy o ochronie danych osobowych z 1997 r., a teraz muszą przeskoczyć niejako dwa poziomy i to wydaje mi się najtrudniejsze.

Ale są też dobre przykłady, jak np. miasta Ciechanowa, gdzie wdrożono prototypowy system zapewniający pełną zgodność informatyki urzędu z RODO – unijnym prawem ochrony danych osobowych.

Jak ogólnie radzą sobie urzędy z danymi osobowymi mieszkańców?

– Radzą sobie coraz lepiej, coraz większa jest świadomość wagi problemu. Widać to też chociażby po ogromnej liczbie pytań, która jest kierowana do ministerstwa.

Od września trwają konsultacje społeczne dotyczące naszych przepisów krajowych, zmiany ponad 130 ustaw wdrażających RODO. Samorządy są bardzo aktywne w tych konsultacjach, dostajemy wiele uwag, te zasadne zostaną uwzględnione w trakcie procesu legislacyjnego i to pokazuje świadomość samorządów w tej kwestii.

Kiedy należy spodziewać się nowelizacji ustawy o ochronie danych osobowych? Jak pan wspomniał, poprzednia wersja ma już 20 lat…

– W połowie października kończą się konsultacje społeczne projektu ustawy. Minister cyfryzacji chciałby, by projekt z początkiem 2018 roku trafił do Sejmu, by został przyjęty w okolicy marca, co pozwoliłoby na dwumiesięczne vacatio legis. Czy to się uda, zobaczymy, ale takie jest założenie MC.

Jakie nowe uprawnienia zyska Kowalski, który np. przychodzi do urzędu wyrobić dowód osobisty czy zarejestrować samochód?

– Prawo do żądania usunięcia danych osobowych z wszystkich nośników, prawo do przeniesienia naszych danych osobowych i obowiązek poinformowania o wszelkich naruszeniach – to trójca nowych uprawnień, których w dzisiejszym systemie prawnym kompletnie nie ma.

Oczywiście uprawnień jest więcej. Te, które obowiązują do tej pory, zostaną zachowane lub wzmocnione.

Co pokrótce oznaczają te najważniejsze nowe uprawnienia?

W przypadku samorządów cały czas mówimy o tzw. długu technologicznym. Część z nich nie jest jeszcze dostosowana w pełni do wymogów ustawy o ochronie danych osobowych z 1997 r. i to wydaje mi się najtrudniejsze – mówi dr Maciej Kawecki, koordynator krajowej reformy ochrony danych osobowych z Ministerstwa Cyfryzacji.

– Prawo do bycia zapomnianym wymusza na podmiocie usunięcie tych danych z wszystkich nośników, także z kopi zapasowych. Miejsca, gdzie prawo do zapomnienia na pewno będzie przysługiwało, to wszelkie wyszukiwarki internetowe, serwisy społecznościowe, wszelkiego rodzaju strony internetowe, na których udostępniamy swoje dane osobowe np. zdjęcia. Np. nasze dziecko uczęszczało do szkoły i wyraziliśmy zgodę na udostępnienie zdjęcia z wycieczki na stronie internetowej szkoły. Kiedy dziecko opuściło szkołę, mamy prawo zażądać, żeby zdjęcie zostało usunięte i to nie tylko ze strony, ale też z wszelkich innych nośników tej szkoły, kopii zapasowych itd.

Jak wspomniałem, RODO daje prawo do przenoszenia danych. To znaczy, że możemy zwrócić się o przekazanie naszych danych do wszystkich podmiotów, które nasze dane posiadają, niezależnie od tego, czy jest to urząd, czy jest to sektor prywatny. Może być tak, ze obywatel wystąpi do urzędu marszałkowskiego z żądaniem przekazania danych osobowych do banku. Co się z tym wiąże? Potrzebna jest albo platforma wymiany informacji, albo przynajmniej pewna standaryzacja, żeby formaty przekazywania danych były takie same i w banku, i w urzędzie.

Kolejna sprawa – prawo o poinformowaniu o naruszeniu. Jeśli dojdzie do naruszenia zasad ochrony danych osobowych obywatela, np. do wycieku, urząd ma obowiązek poinformować organ nadzorczy, czyli przyszłego prezesa urzędu ochrony danych osobowych.

A co z danymi pracowników czy osób aplikujących o pracę? Też mogą zażądać, by dane z ich CV zostały „zapomniane” czyli zniszczone?

– Tu trzeba pamiętać o bardzo ważnej rzeczy. Mówi się, że prawo do bycia zapomnianym to prawo które więcej obiecuje, niż daje. Wynika to z tego, że nie będzie przysługiwało obywatelowi wtedy, kiedy ten, który przetwarza dane, posiada podstawę prawną do ich gromadzenia.

I tak w przypadku sektora zatrudnienia przepisy kodeksu pracy przewidują wprost okres przechowywania danych osobowych pracowników. Mało tego, w przypadku kandydatów do pracy można przetwarzać te dane do końca okresu przedawnienia roszczeń. Może się bowiem okazać, że kandydat pozwie swojego niedoszłego pracodawcę o dyskryminację na etapie zatrudniania i wtedy ten pracodawca musi mieć jego CV i musi mieć możliwość wykazania, udowodnienia że dany kandydat był gorszy od pozostałych.

Mówi się też głośno, że na instytucje, które nie spełnią wymagań RODO, nakładane będą kary. Czy pana zdaniem zmobilizuje to urzędy do szybkiego wdrażania przepisów?

– Kara wobec sektora publicznego została przez nas znacznie zmniejszona, bo jest to wymiar tylko 100 tys. zł. Natomiast wydaje mi się, że dla administracji publicznej tym, co w większym stopniu dyscyplinuje, jest reputacja, jest opinia obywateli o urzędzie, urzędnikach. Dlatego projekt ministra cyfryzacji przewiduje obowiązek sprawozdawczy, czyli organ, wobec którego decyzja zostanie wydana, będzie mieć obowiązek upublicznić informacje, w jaki sposób się do danej decyzji  dostosował.

Zmian, pytań jest bardzo dużo, po wejściu w życie nowych przepisów na pewno będzie znaczna liczba zgłoszeń naruszeń. Jakie wzmocnienie przewiduje minister cyfryzacji dla nowego organu, który zastąpi GIODO?

– Ministerstwo cyfryzacji w skutkach wprowadzania zmian przewidziało zwiększenie budżetu z obecnych ok. 20 mln zł do ponad 40 mln zł. Przewidziano też podwojenie liczby pracowników z obecnych 145 etatów GIODO do 290 w nowym Urzędzie Ochrony Danych Osobowych.

Źródło: http://www.portalsamorzadowy.pl