RODOInspektor Ochrony Danych Osobowych w jednostkach samorządu terytorialnego

RODO nakłada na niektórych administratorów danych osobowych bezwzględny obowiązek powołania Inspektora Ochrony Danych Osobowych (IOD).

Kto ma obowiązek powołania Inspektora Ochrony Danych?

Do wyznaczenia IOD zobowiązane są wszystkie organy państwowe, podmioty przetwarzające dane wrażliwe na duża skalę oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Kiedy jest potrzebny Inspektor Ochrony Danych Osobowych?

Kim jest Inspektor Ochrony Danych Osobowych (IOD)?

Inspektor Danych Osobowych (IOD) to osoba fizyczna wspierająca administratora danych podmiot przetwarzający w realizacji obowiązków dotyczących ochrony danych osobowych.

Inspektor Ochrony Danych Osobowych to osoba powoływana przez administratora lub podmiot przetwarzający do pomocy przy przestrzeganiu w przedsiębiorstwie, instytucji lub organizacji przepisów o ochronie danych osobowych. IOD pełni rolę pośrednika pomiędzy zainteresowanymi podmiotami (Urzędem Ochrony Danych Osobowych, podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane). Powołany Inspektor Ochrony Danych Osobowych zapewnia realizację zasady rozliczalności – pomaga przy sporządzaniu oceny ryzyka, czy oceny skutku ochrony danych osobowych.

Zadania Inspektora Ochrony Danych Osobowych:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach w zakresie ochrony danych osobowych wynikających z RODO,
  • doradzanie, jak przestrzegać przepisów o ochronie danych osobowych,
  • monitorowanie przestrzegania przepisów, polityk w zakresie ochrony danych osobowych,  
  • pomaganie przy sporządzaniu oceny ryzyka lub oceny skutków dla ochrony danych osobowych,
  • zachowanie poufności względem wykonywanych zadań w ramach ochrony danych osobowych,
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego.

RODO w samorządach, czy Samorządy mają obowiązek powoływać Inspektora Danych Osobowych?

Nowe przepisy wprowadziły obligatoryjny wymóg, by inspektor ochrony danych miał wiedzę o każdym projekcie, przetargu, lub  sprawie, w których od samego początku trzeba uwzględniać wymogi ochrony danych osobowych.

Od 25 maja 2018 roku zaczęliśmy stosowanie unijnego rozporządzenia o ochronie danych (RODO). Kim w urzędach samorządowych są aktualnie administratorzy, a kim inspektorzy ochrony danych?

Inspektor Ochrony Danych [IOD] – Oferta usługi

Proszę wysłać zapytanie poprzez formularz

(oferta usługi wyłącznie dla podmiotów z województwa zachodniopomorskiego)

    "]

     

    Administrator danych to nie to samo co Inspektor Ochrony Danych (IOD)

    Administratorem danych jest każdy podmiot publiczny i prywatny, który w swojej działalności wykorzystują dane osobowe. To Administrator Danych jest odpowiedzialny za te obowiązki.

     Inspektor ochrony danych, sprawdza i ocenia wykonanie obowiązków wynikających z przepisów prawa RODO. IOD doradza np. burmistrzowi, wójtowi gminy czy staroście powiatu oraz pracownikom urzędów, w jaki sposób wywiązywać się z obowiązków prawnych dotyczących ochrony danych osobowych.

    Wątpliwości co do roli IOD i administratora danych w gminie.

    Należy wskazać jednoznacznie, że daleko błędnym podejściem i niezgodnym z przepisami prawa jest przerzucanie obowiązków i odpowiedzialności administratora danych w samorządzie na Inspektora Ochrony Danych. Jest to sytuacja niedopuszczalna. To rodzi konflikt interesów w samorządzie czy instytucji.

    Rolą Inspektora Ochrony Danych jest namierzanie i sygnalizowanie nieprawidłowości w obchodzeniu się z danymi osobowymi oraz wskazywanie środków naprawczych. Inspektor Ochrony Danych to kluczowy łącznik pomiędzy Administratorem Danych a petentem / klientem, którego dane są administrowane w tym zbiorze. Inspektor IOD musi być w związku z tym całkowicie niezależny funkcjonalnie od Administratora Danych.

    Kto jest odpowiedzialny w samorządzie za ochronę danych osobowych?

    W każdym przypadku w gminie czy starostwie odpowiedzialni za ochronę danych osobowych i realizację obowiązków wynikających z przepisów o ochronie danych osobowych powinni poczuwać  się odpowiedzialni wszyscy pracownicy, każdy na swoim stanowisku bo mają do czynienia z danymi osobowymi. Rolą burmistrza, wójta czy starosty jest dbać aby tak było. Pełną  odpowiedzialność za zgodne z prawem przetwarzanie danych ponosi jednak administrator.

    Czym się różni rola inspektora ochrony danych sprzed RODO od tej obecnej?

    Zgodnie z obowiązującymi przepisami RODO, zamiast administratora bezpieczeństwa informacji (ABI) wprowadzono inspektora ochrony danych (IOD). Wydawać by się mogło, że to mało znacząca i powierzchowna zmiana. Nic bardziej mylnego. Przede wszystkim bowiem został wzmocniony status prawny takiej osoby. Nowy system ochrony danych osobowych jest oparty na głównym założeniu stałej współpracy pomiędzy inspektorem IOD a organami nadzorczymi instytucji, samorządu czy innej organizacji. Rolą Inspektora jest w sposób skuteczny i efektywny wspomagać administratora w zrozumieniu polityki RODO i we wdrożeniu nowych obowiązków oraz utrzymaniu ich skuteczności. Inspektor IOD to pośrednik między osobami, których dane dotyczą, a administratorem danych, po to, aby w sytuacjach problematycznych udzielić pomocy i skutecznie rozwiązać problem.

    Czy gmina i powiat ma obowiązek wyznaczenia Inspektora Ochrony Danych IOD?

    Prawodawca unijny przesądził, iż obowiązek wyznaczenia Inspektora Ochrony Danych IOD ma obecnie więcej  podmiotów, w tym wszystkie podmioty publiczne, tj. gminy, powiaty, województwa.

    Inspektor podlega bezpośrednio administratorowi, czyli wójtowi, burmistrzowi, staroście czy marszałkowi województwa albo też kierownikowi jednostki budżetowej samorządu, np. dyrektorowi szkoły.

    Narzucanie Inspektorowi obowiązków, które utrudniałyby mu wykonywanie jego zadań lub powodowały konflikt interesów jest niezgodne z przepisami. Obowiązki Inspektora IOD są jazno sprecyzowane w przepisach RODO. Nic mniej, nic więcej. Nowe przepisy wręcz nakazują, by IOD był informowany o każdym projekcie, przetargu, systemie lub sprawie, w których należy uwzględniać wymogi ochrony danych osobowych.

    Kto może być Inspektorem Ochrony Danych w gminie, powiecie czy szkole?

    Ustawodawca nie sprecyzował formy prawnej, na podstawie której burmistrz, wójt czy dyrektor szkoły ma obowiązek powołać Inspektora IOD.

    Inspektorowi należy się skuteczna ochrona przed niesłusznym zwolnieniem z pracy lub innymi negatywnymi konsekwencjami wynikającymi z wykonywania dość trudnej roli i sygnalizowania nieprawidłowości. Z rozporządzenia parlamentu europejskiego i rady UE wynika, że Inspektor IOD w zakresie wykonywania swoich obowiązków winien być niezależny.

    Jak samorządy narażają się na kary finansowe?

    Do tej pory pojawiają się absurdalne sytuacje w urzędach gmin czy miast, w których funkcję Inspektora pełni „z doskoku” urzędnik obciążony innymi obowiązkami lub gdy Inspektorem jest np. zastępca burmistrza czy dyrektora szkoły. To bardzo krótkowzroczne i nieodpowiedzialne rozwiązanie. W takich sytuacjach można podejrzewać, że rodzi się konflikt interesów lub kierownicy tych organizacji całkowicie nie rozumieją przepisów RODO.

    Zgodnie z założeniami RODO, na Inspektora Ochrony Danych w samorządzie powinna być wyznaczana osoba, która na co dzień nie podejmuje jakichkolwiek decyzji (w jakimkolwiek aspekcie) co do celów przetwarzania danych osobowych. Taka osoba nie powinna mieć w zakresie swoich obowiązków pracowniczych jakichkolwiek zadań, które upoważniają ją do czynności z danymi osobowymi, w tym zastępstwo innych osób, które takie zadania posiadają. Kuriozalną sytuacją jest ta, w której jedna i ta sama osoba, np. burmistrz czy jego zastępca kieruje jednostką będąc administratorem danych i jednocześnie ocenia swoją działalność pod kątem zgodności z przepisami o ochronie danych osobowych. W jakimkolwiek samorządzie należy przestrzegać reguły,  że żaden urzędnik nie powinien kontrolować „sam siebie.” Najkorzystniejszą, najbardziej komfortową i przejrzystą sytuacją w samorządach jest ta, w której na Inspektora Ochrony Danych wyznacza się osobę „z zewnątrz” w tzw. outsourcingu, np. na umowę zlecenie, umowę cywilno prawną.

    Czy jeden Inspektor Ochrony Danych może obsługiwać kilka jednostek samorządowych?

    Polskie samorządy, w tym gminne gromadzą ogromną ilość danych osobowych. Są to m.in. ewidencja ludności, wykaz faktur, rejestr środków transportu, rejestr psów i ich właścicieli, itd. W związku z tak szeroką paletą gromadzonych danych, zgodnie z art. 8 ustawy wójt zobowiązany jest do wyznaczenia inspektora danych osobowych i zgłoszenia tego faktu do Prezesa Urzędu Ochrony Danych Osobowych. Dane kontaktowe inspektora winny też naleźć się na stronie urzędu.

    Przepisy RODO przewidują taką możliwość wyznaczenia jednego inspektora dla kilku jednostek publicznych, np. kilku gmin czy kilku szkół i jednocześnie. Oczywiście jak zawsze w takiej sytuacji również istotnym jest logika i rozsądek. Należy zwracać uwagę na sytuację aby wielkość tych organizacji i liczba problemów związanych z ich funkcjonowaniem nie przerosła możliwości fizycznych inspektora. Rozsądnym podejściem jest również dopilnowanie aby powoływany Inspektor specjalizował się np. outsourcingu organizacji o podobnym charakterze.  

    Właśnie nikt inny jak kierownicy samorządów terytorialnych powinni być szczególnie wyczuleni na przejrzystość w doborze i wyznaczaniu Inspektora Ochrony Danych. Należy pamiętać, że w tego typu obszarach jest dobrze, dopóki nic złego się nie wydarzy. Później, gdy zaistnieje np. „wyciek danych osobowych” tłumaczenia na nic się nie przydają jeśli burmistrz czy wójt gminy wyznaczył na Inspektora swojego zastępcę, tłumacząc to ograniczaniem wydatków samorządu. To ograniczanie może być bardzo kosztowne. Jak wskazuje historia UODO w szczególności pilnuje w tym zakresie jednostek samorządu terytorialnego, nakłada też dość wysokie kary za błędy spowodowane nieuzasadnionymi oszczędnościami. Takim przykładem jest burmistrz Aleksandrowa Kujawskiego, na którego UODO nałożyło karę 40 tysięcy złotych za naruszenia RODO, w zakresie udostępniania danych osobowych podmiotowi zewnętrznemu bez podstawy prawnej (brak umowy powierzenia). To Doś znaczna kara, biorąc pod uwagę, że maksymalny limit kar dla administracji wynosi 100 tyś zł. Jest to jednak wyraźny sygnał dla samorządów, szkół, szpitali i innych instytucji, że mogą i z pewnością będą kontrolowane w zakresie Ochrony Danych Osobowych.

    Kiedy UODO może wszcząć kontrolę a kiedy grozi odpowiedzialność karna?

    Na podstawie przepisów znajdujących się w rozdziale 9 omawianej ustawy Prezes Urzędu może zarządzić i przeprowadzić kontrolę wdrożonej w urzędzie procedury ochrony danych osobowych”

    Kontrola może skutkować wszczęciem postępowania o naruszenie przepisów o ochronie danych, a negatywną konsekwencją może być nałożenie kary finansowej na gminę. W sprawie naruszenia przepisów o ochronie danych osobowych może być też wszczęte postępowanie cywilne – tytułem do jego wszczęcia może być naruszenie dóbr osobistych lub roszczenia odszkodowawcze.

    W  trzech sytuacjach może być wszczęte postępowanie karne – w przypadku nieodpuszczalnego przepisami przetwarzania danych osobowych, ujawnienia danych wrażliwych oraz w przypadku udaremnienia lub utrudniania kontroli przestrzegania przepisów o ochronie danych. Wszystkie te przypadki zagrożone są karą grzywny lub nawet pozbawienia wolności.

    Podstawa prawna: Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych