Jak administracja publiczna poradziła sobie z wdrożeniem regulacji ochrony danych osobowych po wejściu w życie RODO?

Data publikacji: 30-09-2020

Najwyższa Izba Kontroli 17 września 2020 r. opublikowała raport o wynikach kontroli „Wdrożenie przez administrację publiczną regulacji dotyczących ochrony danych osobowych po wejściu w życie RODO”. Raport dostępny jest pod linkiem: https://www.nik.gov.pl/kontrole/P/19/007/. Zachęcamy do zapoznania się z jego treścią. Poniżej znajdą Państwo podsumowanie najważniejszych wniosków.

Celem kontroli było:

sprawdzenie, czy organy administracji publicznej wdrożyły w wymaganym zakresie i czasie przepisy dotyczące ochrony danych osobowych po wejściu w życie RODO. Ogółem skontrolowano 17 jednostek w tym: Ministerstwo Spraw Wewnętrznych i Administracji, cztery urzędy wojewódzkie oraz 12 urzędów gmin.

Przedmiot kontroli obejmował:

  1. Zasady i sposób ochrony danych osobowych przetwarzanych przez organ;
  2. Czy jednostki wyznaczyły inspektora ochrony danych;
  3. Warunki ochrony danych osobowych;
  4. Sprawdzenie analiz ryzyka jednostek;
  5. Sposób informacji osób fizycznych o zakresie i celach przetwarzania ich danych oraz rozpatrywaniu żądań od osób fizycznych dotyczących ich danych;
  6. Okres przechowywania dokumentacji aplikacyjnej kandydatów w związku
    z ogłoszeniami o pracę.

Najwyższa Izba Kontroli pozytywnie oceniła przygotowanie kontrolowanych jednostek do wdrożenia RODO, nie stwierdzając przy tym zaniedbań w przygotowaniach tych jednostek.

Wszystkie skontrolowane jednostki:

  1. przeprowadziły analizy ryzyka;
  2. powołały Inspektora Ochrony Danych (IOD);
  3. opracowały i stosowały procedury wewnętrzne dotyczące postępowania w razie stwierdzenia naruszeń ochrony danych osobowych;
  4. opracowały, wdrożyły i stosowały procedury związane z niszczeniem dokumentów papierowych i elektronicznych;
  5. opracowały procedury wewnętrzne dotyczące ochrony fizycznej i technicznej budynków oraz infrastruktury informatycznej;
  6. powierzały przetwarzanie danych osobowych podmiotom zewnętrznym;
  7. nie były obciążone karami finansowymi za nieprawidłowe stosowanie RODO;

W większości jednostek:

  1. zostały zastosowane zgodne z wewnętrznymi uregulowaniami dotyczącymi ochrony danych osobowych środki bezpieczeństwa (techniczne, fizyczne i informatyczne);
  2. prowadzone były prawidłowe rejestry czynności przetwarzania danych i rejestry kategorii czynności przetwarzania;
  3. przestrzegano procedury dotyczące postępowania w sprawie żądania przez osoby od administratora usunięcia jej danych osobowych;

NIK zwraca uwagę na:

  1. obowiązek utworzenia rejestru czynności przetwarzania danych;
  2. obowiązek publikacji na stronach internetowych podległych jednostek organizacyjnych, danych kontaktowych do IOD;
  3. upoważnianie pracowników do przetwarzania danych osobowych z chwilą powstania stosownego obowiązku;
  4. przestrzeganie obowiązku niezwłocznego odbierania byłym pracownikom uprawnień do systemów informatycznych tych jednostek;
  5. zabezpieczanie pomieszczenia serwerowni przed utratą danych poprzez zminimalizowanie ryzyka nieautoryzowanego dostępu oraz zagrożenia pożarowego;
  6. stosowanie bezpiecznych rozwiązań informatycznych związanych m.in. z systemem autoryzacji dostępu do elektronicznych zasobów danych osobowych gromadzonych w jednostce oraz z tworzeniem i przechowywaniem kopii bezpieczeństwa zgromadzonych danych;
  7. ograniczenie dostępu do sieci lokalnych, w których te dane są przetwarzane;
  8. fakt niedołączania do umów zleceń informacji o przetwarzaniu danych osobowych, może rodzić w przyszłości problem dla administratora z rozliczeniem się z tego obowiązku;
  9. zgodność z procedurami wewnętrznymi przy ustalaniu haseł dostępu do systemów informatycznych, w których przechowywane są dane osobowe;
  10. zasięg monitoringu wizyjnego, aby obejmował miejsca dozwolone i prawidłowo oznaczone;
  11. sytuację utraty lub braku dostępności do danych gromadzonych w serwerowni dotyczących najważniejszych sfer działalności urzędu, może doprowadzić do sytuacji kryzysowej.

Koszty wdrożenia RODO:

Wyniosły od 1,8 tys. zł do 560 tys. zł. Dotyczyły one głównie kosztów szkoleń, zakupu sprzętu i oprogramowania oraz zadań inwestycyjnych związanych z koniecznością stworzenia fizycznych zabezpieczeń w obrębie użytkowania budynków. Kontrola nie stwierdziła przypadków braku środków na pokrycie kosztów wdrożenia RODO. Jednakże NIK zdaje sobie sprawę, że małe jednostki (np. gminy wiejskie) mogą nie dysponować odpowiednimi zasobami kadrowymi i finansowymi dla rzetelnej organizacji ochrony danych osobowych, co może powodować trudności w należytym zabezpieczeniu danych osobowych gromadzonych w tych jednostkach.

Daniel Królak
Kancelaria Wyrzykowscy