GAZETA SAMORZDU I ADMINISTRACJI

2016-11-05

od 2018 roku rewolucyjne

zmiany przepisw w zakresie
ochrony danych osobowych
W ycie weszo rozporzdzenie Parlamentu Europejskiego w sprawie ochrony
danych osobowych. Jego rozwizania bd stosowane w Polsce za niecae dwa
lata. Bdzie to rewolucja - obywatele zyskaj nowe narzdzia ochrony za na
administracj publiczn naoone zostan nowe obowizki.

Czy rozporzdzenie PE i Rady UE z kwietnia 2016 r.

w istotny sposb zmieni sposb postpowania
administratorw danych? Jakie narzdzia zy
ska GIODO, by chroni nas przed nieuczciwymi
praktykami z ich strony?

- Rozporzdzenie wprowadza wiele nowych rozwi

za, jak np. prawo do bycia zapomnianym czy prawo do
przenoszenia danych. Ustanawia te nowy sposb do
peniania obowizku informacyjnego, a take obowizek
prowadzenia rejestru czynnoci (operacji) przetwarzania
danych osobowych. Ponadto, wprowadzajc generaln
zasad uwzgldniania zasad ochrony danych ju w fazie
projektowania procesw przetwarzania danych osobo
wych, przenosi ciar odpowiedzialnoci za niezgodne
z prawem przetwarzanie danych osobowych na admini
stratorw danych.
Z kolei GIODO, gdy dane osobowe bd przetwarza
ne niezgodnie z przepisami, bdzie mia prawo nakada
nia administracyjnych kar pieninych. Z samego zaoenia
maj one by skuteczne, proporcjonalne i odstraszajce.
W mojej ocenie, wiadomo, e mona zapaci bardzo
wysok kar za niewaciwe przetwarzanie danych, bdzie
mobilizowaa do wikszej dbaoci o nie.
Zgodnie z rozporzdzeniem, skargi bd mogy
by skadane do krajowych inspektorw, bez
wzgldu na siedzib firmy, ktra jest skarona.
Jakie narzdzia bdzie posiada GIODO, by wy
egzekwowa ochron polskich obywateli? Jak
bdzie wygldaa zacieniona wsppraca mi
dzy GIODO i analogicznymi instytucjami w innych
krajach UE?
- Rozporzdzenie - dziki temu, e bdzie stosowa
ne bezporednio, bez koniecznoci implementacji do
Z dr Edyt Bielak-Jomaa,
Generalnym Inspektorem
Ochrony Danych Osobowych
(GIODO)
rozmawia Rafa Osiski
krajowych porzdkw prawnych - doprowadzi do uni
fikacji zasad ochrony danych osobowych we wszystkich
pastwach UE. Uatwieniem bdzie moliwo skadania
skargi bezporednio do krajowego organu ds. ochrony
danych osobowych - w Polsce do GIODO. Rozporzdze
nie stanowi za, e nasza instytucja bdzie przekazywa
a j do organu ochrony danych tego kraju UE, w ktrym
znajduje si gwna jednostka organizacyjna admini
stratora lub podmiotu przetwarzajcego. Zagraniczny
organ bdzie mia obowizek wsppracowa z nami
w zakresie rozpatrywania skargi. Z kolei GIODO, w ra
mach uprawnie, oprcz prawa do otrzymywania infor
macji i wydawania opinii dotyczcych projektu decyzji,
bdzie mia rwnie kompetencje do ksztatowania jej
treci. Jeeli bowiem projekt decyzji byby niezadowa
lajcy, Generalny Inspektor bdzie uprawniony do zo
enia sprzeciwu.
Ponadto, w wyjtkowych okolicznociach, jeeli
GIODO uzna, e istnieje pilna potrzeba podjcia dzia
a w celu ochrony praw i wolnoci osb, ktrych dane
dotycz, bdzie mg przyj rodki tymczasowe, ktre

na terenie Polski wywoaj skutki prawne przez okrelo
ny czas.
Jeli za chodzi o wspprac unijnych organw
ds. ochrony danych osobowych, to bd one zobowiza
ne do przekazywania sobie informacji i wiadczenia wza
jemnej pomocy. Ponadto rozporzdzenie daje im moli
wo prowadzenia wsplnych operacji (np. postpowa
i egzekucji).
Jakie narzdzia ochrony zyskajq polscy i unijni
obywatele dziki rozporzdzeniu?
- W tym wzgldzie warto wskaza na dwa mecha
nizmy majce na celu zwikszenie ochrony naszej pry
watnoci - privacy by design (prywatno w fazie projek
towania), zakadajcy, e narzdzia i usugi powinny by
tak konstruowane, by od samego pocztku uwzgldnia
y potrzeb ochrony prywatnoci obywateli, oraz priva-
cy by default (prywatno w ustawieniach domylnych).
Mechanizm ten wskazuje, i podstawowe ustawienia po
winny chroni prywatno uytkownika, gromadzi mini
malny zakres danych osobowych i dawa mu swobod
decydowania w tym zakresie.
Rozwiniciem praktycznych aspektw ochrony pry
watnoci w fazie projektowania jest za dokonywanie
oceny ryzyka i skutkw wpywu projektu na prywat
no oraz poziom ochrony danych (privacy impact as-
sessment). Do jej przeprowadzania administrator da
nych lub podmiot przetwarzajcy s zobowizani
wwczas, gdy operacje przetwarzania stwarzaj szcze
glne ryzyko dla praw i wolnoci podmiotw danych
z racji swego charakteru, zakresu lub celw. eby przy
nosia ona oczekiwane rezultaty, powinna by prze
prowadzana jeszcze zanim jakie urzdzenia czy syste
my zostan wprowadzone do uycia. Due znaczenie
moe te mie przyjcie koncepcji risk based appro-
ach, ktra zakada, e im wiksze jest ryzyko zwiza
ne z przetwarzaniem danych osobowych, tym wikszy
powinien by zakres obowizkw cicych na admi wala. Czciowo jest to spowodowane tym, e kwestie
nistratorze. W tym kontekcie do zwikszonej dbao
ci o dane osobowe bd zobowizani administrato
rzy korzystajcy z takich rozwiza technologicznych,
jak np. Big Data czy chmura obliczeniowa [cloud com-
puting). O wymogu przywizywania szczeglnej wagi
do zabezpieczenia danych decydowaa bdzie rwnie
sama tre gromadzonych informacji. Im zakres prze
twarzanych danych jest szerszy bd znajduj si w nim
dane osobowe wraliwe, tym poziom zabezpieczenia
danych powinien by wyszy.
GAZETA SAMORZDU I ADMINISTRACJI
2016-11-05
Jakie s plany kontroli GIODO w najbliszym cza
sie w sferze samorzdu terytorialnego? Z czego
wynikaj takie plany?
- W planie kontroli sektorowych GIODO na 2016
rok znalazo si m.in. przeprowadzenie kontroli w staro
stwach powiatowych w zakresie przetwarzania danych
osobowych w ewidencji gruntw i budynkw. Kontrole
takie odbyy si w 10 jednostkach, ale obecnie postpo
wania wszczte na ich skutek s jeszcze w toku.
W tym roku planujemy te skorzysta z narz
dzia, jakim s sprawdzenia dla GIODO, o ktrych mowa
w art. 19b ustawy o ochronie danych osobowych. S one
przeprowadzane przez administratorw bezpiecze
stwa informacji (ABI) na wniosek GIODO. W tegorocznym
harmonogramie takich sektorowych sprawdze przewi
dziane jest zbadanie realizacji przez gminy obowizkw
informacyjnych wskazanych w art. 24 i art. 33 ustawy
0 ochronie danych osobowych.
Trzeba jednak zaznaczy, e GIODO moe te inicjo
wa kontrole dorane. W ostatnim okresie impulsem do
rozpoczcia takiej kontroli w jednostce samorzdu tery
torialnego stay si publikacje prasowe dotyczce upub
licznienia na stronie internetowej urzdu miasta odpo
wiedzi na interpelacj radnych, ktra zawieraa imiona
1 nazwiska, numery PESEL, adresy oraz zarobki staystw
Miejskiego Orodka Pomocy Spoecznej.
Jak samorzd terytorialny radzi sobie z przestrze
ganiem przepisw o ochronie danych osobo
wych? Czy postpujca informatyzacja sprzyja
ochronie?
- W mojej ocenie jest lepiej ni byo i warto po
chwali urzdnikw za ch pogbiania wiedzy na
temat ochrony danych osobowych, co potwierdza m.in.
coraz czstsze i liczniejsze ich uczestnictwo w szkole
niach organizowanych przez GIODO. Niemniej nie
osignlimy jeszcze stanu, ktry mgby w peni zado
przetwarzania danych osobowych w jednostkach sa
morzdu reguluje wiele przepisw szczeglnych, a ich
interpretacja i waciwe zastosowanie przysparza nie
kiedy problemw.
Jeli za chodzi o informatyzacj urzdw, to z pew
noci jest to proces nieuchronny, stanowicyjednocze-
nie due wyzwanie: z jednej strony pomaga w codzien
nym yciu, zarwno petentom, jak i urzdnikom, z drugiej
za - powoduje take zagroenia w dziedzinie ochrony
danych osobowych i prywatnoci.

Jakie problemy zwizane z ochron danych
osobowych rodzi program 500+? Czy zgasza
ne wczeniej przez GIODO wtpliwoci zostay
przez ustawodawc wyjanione?
- Na etapie prac legislacyjnych nad projektem usta
wy o pomocy pastwa w wychowywaniu dzieci, GIODO
zgasza zastrzeenia, wskazujc m.in., e przyjmowane
rozwizania, zwaszcza odnoszce si do zmian dotycz
cych administratora danych oraz instytucji powierzenia
przetwarzania danych, bd rodziy wtpliwoci inter
pretacyjne i mog spowodowa trudnoci w praktycz
nym stosowaniu przepisw. Uwagi te nie zostay jednak
uwzgldnione.
W zwizku z tym GIODO, dc do wsparcia admini
stratorw danych przy realizacji programu i do zapew
nienia poszanowania praw osb, ktrych dane s prze
twarzane, wyda komunikat majcy na celu wyjanienie
wtpliwoci interpretacyjnych i przedstawienie stanowi
ska organu w tej sprawie.
Kolejny z komunikatw odnosi si do wtpliwo
ci, jakie pojawiy si w kwestii zgaszania do rejestracji
GIODO zbiorw danych tworzonych w zwizku z realiza
cj Programu Rodzina 500+. Zawarte w nim wyjanienia
stanowiy istotne wsparcie dla podmiotw zaangaowa
nych w realizacj Programu.
Ponadto GIODO udziela indywidualnych wyjanie
zgaszajcym si do niego podmiotom, m.in. co do mo
liwoci udostpniania danych pomidzy urzdem gminy
a orodkiem pomocy spoecznej.
Naley podkreli, e GIODO nie prowadzi adnych
postpowa skargowych zwizanych z Programem Ro
dzina 500+. Niemniej, na podstawie pozyskiwanych syg
naw, kataloguje zakres zagadnie, ktre mog by
przedmiotem ewentualnych prac legislacyjnych zmie
rzajcych do doskonalenia przepisw ustawy o pomo
cy pastwa w wychowywaniu dzieci np. na etapie ich
ewaluacji.
Jak zmienia si w Polsce podejcie do ochrony
danych osobowych? Czy jest lepiej czy wrcz
przeciwnie?
- Biorc pod uwag badania Eurobarometru oraz
rosnc z roku na rok liczb kierowanych do GIODO
skarg, mona by przypuszcza, e wiadomo Polakw
w zakresie ochrony danych osobowych i prywatnoci jest
coraz wysza. Jednak w mojej opinii, jest ona bardzo po
wierzchowna. Chciaabym, eby Polacy nauczyli si wi
dzie zwizek przyczynowo-skutkowy midzy swoim
GAZETA SAMORZDU I ADMINISTRACJI
2016-11-05
zachowaniem a naruszaniem ich prywatnoci, eby wie
dzieli, kiedy mog odmwi podania swoich danych,
a kiedy nie; eby mieli wiadomo ryzyka kradziey to
samoci i potrafili je minimalizowa.Wiedza na ten temat
wci jest zbyt maa.
GIODO od lat prowadzi szeroko zakrojon dziaal
no edukacyjn skierowan do rnych grup odbior
cw. Z myl o najmodszych realizowany jest oglno
polski program edukacyjny dla szk i nauczycielijwoje
dane -Twoja sprawa". Dla administratorw bezpiecze
stwa informacji (ABI) utworzylimy serwis, w ktrym
znajduj si informacje i porady dotyczce m.in. po
woania i rejestracji ABI oraz wykonywania przez niego
jego ustawowych obowizkw. Warto te wspomnie
o platformie edukacyjno-informacyjnej eduGIODO, czyli
internetowym serwisie, adresowanym zarwno do ad
ministratorw danych, jak rwnie do kadej osoby, kt
rej dane dotycz.
Jakie zmiany prawne naleaoby wprowadzi,
w szczeglnoci w sferze samorzdu terytorial
nego, by ochrona danych osobowych bya jesz
cze lepsza?
- Obecnie najwikszym wyzwaniem bdzie przygo
towanie si do stosowania przepisw oglnego rozpo
rzdzenia o ochronie danych osobowych. Mimo e b
dzie ono stosowane bezporednio, to do jego przepisw
musimy dostosowa cae polskie prawo. W tym celu ko
nieczne bdzie dokonanie przegldu wielu aktw praw
nych, m.in. po to, aby ujednolici definicje i wprowadzi
nowe. Ponadto rozporzdzenie przewiduje take przy
padki, kiedy poszczeglne kwestie pozostawione s do
uregulowania lub doprecyzowania przez prawo krajowe.
Przykadowo s to m.in. takie szczegowe zagadnienia
sektorowe, jak chociaby przetwarzanie danych osobo
wych na potrzeby zatrudnienia czy ochrony zdrowia.
Z kolei podmioty przetwarzajce dane musz przy
gotowa si m.in. do zmian w procedurach i zasadach
przetwarzania danych. Dla podmiotw z sektora publicz
nego istotny moe by za obowizek zatrudnienia Data
Protection Officera, czyli inspektora ochrony danych.Tak
funkcj peni obecnie administrator bezpieczestwa in
formacji (ABI) - jednak jego powoanie jest dobrowolne.
Po wejciu w ycie unijnego rozporzdzenia, wszystkie
instytucje publiczne bd musiay mie w swoich struk
turach DPO.
Dzikuj za rozmow.