Książka
RODO dla samorządu i administracji
Wstęp
Ochrona informacji o osobach fizycznych znajduje w polskim ustawodawstwie umocowanie w samej Konstytucji. Przepisy art. 47 i 51 wprowadzają prawo do ochrony życia prywatnego oraz prawo obywateli do kontrolowania gromadzenia informacji na ich temat. Z kolei zasady obrotu tymi informacjami (danymi osobowymi) oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych, są obecnie określone przez przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2016 r. poz. 922 ze zm.; dalej: uodo). W Parlamencie trwają prace nad zupełnie nową ustawą o ochronie danych osobowych. Systematyka nowych przepisów będzie analogiczna, jak w obecnej ustawie, akt ten jednak zostanie dostosowany do nowych przepisów unijnych.
W dniu 14 kwietnia 2016 r. Parlament Europejski zakończył pracę nad jednolitą i powszechnie obowiązującą europejską kodyfikacją z zakresu ochrony danych osobowych, przyjmując Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz. UE L Nr 119, str. 1; dalej: RODO).
Skutkiem reformy jest obowiązywanie RODO we wszystkich państwach członkowskich. RODO zastępuje obowiązującą dotychczas dyrektywę 95/46/WE. Rozporządzenie to akt, który stosuje się bezpośrednio w krajach członkowskich - bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Co więcej, w polskim porządku prawnym RODO będzie miało pierwszeństwo w stosowaniu wobec ustawodawstwa krajowego. Ma nastąpić pełna harmonizacja prawa materialnego dotyczącego ochrony danych i ich przepływu w ramach UE.
W RODO określono m.in.:
1) nową rolę inspektora ochrony danych - IOD (obecnie zwanego administratorem bezpieczeństwa informacji - ABI),
2) ułatwienia dla grup kapitałowych - przez wprowadzenie konstrukcji "współadministratorów",
3) wysokie kary pieniężne za nieprzestrzeganie przepisów RODO,
4) zasady profilowania,
5) obowiązek prowadzenia przez inspektora ochrony danych osobowych rejestru czynności przetwarzania,
6) obowiązek uwzględnienia ochrony danych w fazie projektowania oraz wprowadzenia mechanizmów domyślnej ochrony danych,
7) szerokie uprawnienia dla osób, których dotyczą dane (m.in. prawo do bycia zapomnianym, przetwarzanie danych dzieci poniżej 16. roku życia tylko za zgodą prawnego opiekuna, przejrzyste udzielanie informacji osobie, której dane dotyczą, itd.),
8) większe obowiązki administratora danych osobowych (m.in. rozszerzenie obowiązku informacyjnego, obowiązek zgłaszania naruszeń ochrony danych osobowych, obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych).
Zagadnienia te znajdują pełne zastosowanie do instytucji administracji publicznej. Wszystkie one bowiem na co dzień administrują danymi i przetwarzają rozmaite dane osobowe.
W niniejszym opracowaniu omawiamy kluczowe zmiany, jakie wprowadza RODO, a także ich skutki dla sektora publicznego.
Podpowiadamy też, jak wdrożyć i stosować nowe przepisy. Należy jednak podkreślić, że nie we wszystkich obszarach regulowanych przez RODO można na ten moment sformułować jednoznaczne wskazówki interpretacyjne dla podmiotów administracji publicznej. Decydujące znaczenie będzie tu miało orzecznictwo sądów oraz praktyka organu ochrony danych osobowych, utrwalona po wejściu w życie RODO oraz nowej ustawy o ochronie danych osobowych.
Integralną częścią poradnika jest zbiór wzorów pism, zgód i oświadczeń wykorzystywanych przy administrowaniu i przetwarzaniu danych osobowych, zgodnych z przepisami RODO.
Rozdział I. Kluczowe zmiany wprowadzane przez RODO
1. Jednolite zasady ochrony danych w całej UE
Od 25 maja 2018 r. mają zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO lub Rozporządzenie).
Przepisy RODO stają się spójnym narzędziem do stosowania we wszystkich państwach członkowskich. Oznacza to, że tym jednym aktem zostanie zastąpionych 28 porządków prawnych w zakresie ochrony danych osobowych, obowiązujących w całej Unii Europejskiej. W efekcie wszystkie podmioty przetwarzające dane w każdym z państw członkowskich mają obowiązek stosowania tych samych zasad.
Zgodnie z motywem 10 preambuły RODO, aby zapewnić wysoki i spójny poziom ochrony osób fizycznych, a także by usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.
Przyjęcie w Polsce RODO to zaledwie początek zmian w przepisach. Dzisiaj zasady przetwarzania danych osobowych uregulowane są w kilkuset aktach prawnych - nie tylko w ustawie o ochronie danych osobowych. Wszystkie te przepisy w najbliższym czasie muszą zostać dostosowane do postanowień RODO.
RODO wymusza też uchwalenie wielu nowych aktów prawnych. Warto śledzić wszystkie te zmiany, aby wiedzieć, jak się do nich przygotować i jak je prawidłowo wdrożyć w jednostce. Należy też analizować sukcesywnie pojawiające się interpretacje i objaśnienia dotyczące RODO - np. opinie i wytyczne przygotowane przez Grupę Robocza? Art. 29 czy też przez Europejską Radę Ochrony Danych, która docelowo ma zastąpić Grupę Roboczą.
WAŻNE!
Do 25 maja 2018 r. wszystkie instytucje administracji publicznej powinny przestrzegać obecnie obowiązujących przepisów o ochronie danych osobowych.
2. Silniejsze egzekwowanie zasad bezpieczeństwa
Za niestosowanie lub naruszenie zasad przewidzianych w RODO instytucje będą karane bardzo wysokimi grzywnami. W przypadku urzędów i instytucji publicznych mogą one wynosić nawet do 20 mln euro. W przypadku przedsiębiorstwa komunalnego - nawet do 4 jego tzw. całkowitego światowego obrotu z poprzedniego roku. Niższe kary - do 10 mln euro lub do 2 jego światowego obrotu - przewidziane są w sprawach mniejszej wagi.
| Do 20 mln euro będzie wynosić kara za naruszenia: |
| 1) zasad przetwarzania danych osobowych |
| 2) warunków wyrażania zgody na przetwarzanie danych |
| 3) w dostępie do danych dla osób, których dane są przetwarzane |
| 4) prawa osób do korygowania i usuwania przetwarzanych danych |
|
|
| Kara do 10 mln euro została przewidziana za naruszenia: |
| 1) zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by design / by default) |
| 2) w przetwarzaniu danych z upoważnienia administratora danych lub podmiotu przetwarzającego |
| 3) w zakresie rejestracji czynności przetwarzania |
| 4) zasad współpracy z organem nadzorczym |
| 5) zasad bezpieczeństwa danych |
Przykład
Przykłady zaniedbań podlegających grzywnie:
● administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę praw osób, których dane dotyczą,
● administrator nie uwzględnił ochrony danych w fazie projektowania (na etapie projektowania systemu informatycznego),
● administrator nie zgłosił incydentu w ciągu 72 h po stwierdzeniu naruszenia organowi nadzorczemu, a incydent ten skutkował naruszeniem praw lub wolności osób fizycznych.
| Każdy przypadek będzie indywidualnie rozpatrywany. Pod uwagę będą brane m.in. następujące elementy: |
| ● skala naruszenia |
| ● umyślność działań |
| ● działania mające na celu zminimalizowanie szkody poniesionej przez osoby, których dotyczą dane |
| ● recydywa - czyli czy jest to pierwsze, czy kolejne przewinienie |
| ● kategorie przetwarzanych danych osobowych |
| ● stopień współpracy z GIODO |
Organ nadzorczy może uwzględniać wszelkie okoliczności obciążające lub łagodzące. Jeśli działanie było celowe, nie zdarzyło się pierwszy raz, a winny nie będzie chciał z GIODO współpracować - można zakładać wyższe kary. Trzeba pamiętać, że "jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekroczy wysokości kary za najpoważniejsze naruszenie" (art. 83 ust. 3 RODO).
Do tej pory w przypadku naruszenia bezpieczeństwa danych winowajca miał czas na uszczelnienie luk w ich ochronie. Przekroczenie wyznaczonego terminu lub niedopełnienie wymogów prawnych skutkowało natomiast karą administracyjną. Po wejściu w życie RODO kara administracyjna będzie mogła być wymierzana z automatu - bez możliwości odwołania się.
W projekcie nowej ustawy o ochronie danych osobowych ustawodawca ograniczył krąg podmiotów publicznych, wobec których możliwe jest nakładanie administracyjnych kar pieniężnych za naruszenia przepisów o ochronie danych osobowych. A tam, gdzie one pozostały, maksymalna granica możliwej do nałożenia kary wynosi 100 tys. zł. Co ciekawe - w projekcie ustawy pojawiają się kary dla niesolidnych świadków i biegłych. Niestawienie się bez podania przyczyny lub odmówienie zeznania może prowadzić do grzywny do 500 zł.
Zgodnie z przepisami RODO: "państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania".
-
keyboard_arrow_right
-
keyboard_arrow_right
-
keyboard_arrow_right
-
keyboard_arrow_right
-
keyboard_arrow_right
