RODO a instytucje publiczne - sprawdź, czy placówka jest przygotowana do zmian w ochronie danych osobowych

Do instytucji publicznych możemy zaliczyć między innymi urzędy, straż pożarną, policję, szkoły, biblioteki czy służbę zdrowia. Nie ma znaczenia, czy są one państwowe czy opłacane z prywatnych lub innych środków. Również na nie rozporządzenie unijne o ochronie danych osobowych, znane jako RODO, nakłada obowiązki w tym zakresie. Dlatego instytucje te powinny przeprowadzić audyt zgodności z RODO, tym bardziej że przetwarzają duże ilości danych osobowych, głównie dane szczególnie chronione.

Podstawowe obowiązki

Wszystkie instytucje publiczne podlegają pod nowe regulacje. Muszą więc dostosować swoje procedury do wprowadzonych zmian. Po 25 maja 2018 roku będą ponosić odpowiedzialność za przechowywanie i przetwarzanie danych osobowych, a bezpośrednio odpowiedzialnym będzie dyrektor (np. szkoły, szpitala) czy szef urzędu. A to nakłada obowiązek stworzenia polityki bezpieczeństwa, stosowania odpowiednich środków technicznych i organizacyjnych, aby zabezpieczyć dane.

Na instytucjach publicznych spoczywa również obowiązek zgłaszania naruszeń przepisów w przeciągu 72 godzin, jak i powołanie IOD czyli Inspektora ochrony danych. Do tej pory nie było takiego obowiązku, ale po 25 maja się to zmieni. IOD powinien być ekspertem w zakresie przetwarzania danych osobowych, któremu zapewniona zostanie niezależność. Będzie on nadzorował procedury związane z danymi osobowymi i kontaktował się z organami nadzorującymi. Jego dane będą musiały być podane do publicznej wiadomości i będzie można się z nim bezpośrednio kontaktować. Inspektor ochrony danych może być wspólny dla kilku organów.

Dokumentacja papierowa

W instytucjach publicznych wiele danych osobowych przechowywanych jest w formie papierowej i jeszcze przez kolejne lata się to nie zmieni. Podstawowym obowiązkiem, jaki narzuciło prawo unijne, jest ich segregacja i określony sposób przechowywanie. Należy je skategoryzować oraz przechowywać w sposób pozwalający na dostęp tylko autoryzowanych osób, a więc z wykorzystaniem mebli zaopatrzonych w zamki i inne zabezpieczenia. Tym samym wiele instytucji publicznych wprowadza tak zwaną politykę czystego biurka - dokumenty zawierające dane osobowe nie mogą pozostawać na stanowiskach pracy bez opieki i wówczas, gdy nie są już potrzebne.

Kontrola nad danymi osobowymi

Jedną z najważniejszych zmian, którą wprowadza RODO, jest zwiększenie kontroli osób fizycznych nad ich danymi. Zastosowane zmiany pod kątem unijnego rozporządzenia w ustawach dotyczących instytucji publicznych, przede wszystkim wymuszają na nich konieczność wskazania administratora danych osobowych, co z punktu widzenia ich właściciela ułatwi mu dotarcie do organu, decydującego o celach i środkach przetwarzania danych. Będziemy mogli na przykład łatwiej zażądać między innymi ich usunięcia w ramach prawa do bycia zapomnianym.

Audyt zgodności z RODO

Instytucje publiczne nie są zwolnione z konsekwencji, jeśli nie przestrzegają zapisów unijnego rozporządzenia. Mogą to być ostrzeżenia, upomnienia lub kary pieniężne. Dlatego zaleca się zarówno firmom, jak i instytucjom publicznym przeprowadzenie audytu zgodności z RODO. W audycie wskazane zostaną nie tylko błędy i niedoskonałości, ale również konkretne zalecenia, umożliwiające usunięcie stwierdzonych nieprawidłowości.

Artykuł powstał przy współpracy z firmą szkoleniową Proxymo.