Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej - RODO), zacznie obowiązywać od 25 maja 2018 r. Co ważne, unijne rozporządzenie będzie obowiązywało bezpośrednio, czyli nie będzie wymagało wdrożenia do polskiego prawa jakiejkolwiek regulacji na poziomie ustawowym.

Niemniej prawodawca w obliczu znaczących zmian i potrzeby ich dostosowania do krajowego porządku prawnego, rozpoczął prace nad przepisami nowej ustawy o ochronie danych osobowych. Jak wskazuje Ministerstwo Cyfryzacji, celem projektowanych ram prawnych jest zapewnienie pełnej skuteczności normom przewidzianym w RODO. Ponadto założeniem krajowej regulacji jest również zapewnienie obywatelom możliwości skuteczniejszego egzekwowania ochrony ich danych osobowych.

- Wejście w życie RODO należy raczej uznać za ewolucję niż rewolucję. Większość podmiotów już dziś ma świadomość potrzeby przestrzegania przepisów w tym obszarze i właściwie realizuje ustawowe obowiązki, a przepisy RODO mają na celu zapewnić ochronę na jeszcze wyższym poziomie - podkreśla dr Agnieszka Stępień, ekspert Związku Miast Polskich.

Zasady przetwarzania danych osobowych
Jednostki samorządu terytorialnego (dalej - JST) będą ponosić odpowiedzialność za prawidłowe przetwarzanie danych osobowych przez nie same, jaki i jednostki im podległe. Nowe obowiązki mają na celu ochronę danych osobowych obywateli przed ich niedozwolonym wykorzystaniem, udostępnieniem, zmianą czy usunięciem. RODO wymusi, aby dane były zbierane w konkretnych, wyraźnych, prawnie uzasadnionych i adekwatnych - dla których są przetwarzane - celach. Powyższe oznacza, że jednostki samorządu terytorialnego będą musiały ograniczyć zakres informacji, których udostępnienia żądają od obywateli. Będzie się to wiązać między innymi z licznymi zmianami w prowadzonych przez nie rejestrach danych oraz udostępnianych w urzędach formularzach wniosków. Ponadto RODO obliguje samorządy, aby zbierane dane były przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą przez okres nie dłuższy niż jest to niezbędne. Odpowiedzialność za prawidłową realizację tych obowiązków, w jednostkach samorządu terytorialnego będą ponosić ich kierownicy, czyli organy wykonawcze (prezydent/burmistrz/wójt).

JST będą musiały wyznaczyć inspektorów ochrony danych
Obecnie powołanie Administratora Bezpieczeństwa Informacji (ABI) jest dobrowolne. Z kolei od 25 maja 2018 r. miejsce ABI zajmie Inspektor Ochrony Danych (IOD), którego powołanie będzie obowiązkowe w urzędach jednostek samorządu terytorialnego, jak i w jednostkach im podległych. Inspektor nie będzie mógł obsługiwać więcej niż dziewięciu jednostek. Konieczność jego powołania będzie wiązać się z potrzebą zabezpieczenia środków budżetowych na nowe stanowisko lub stanowiska, w zależności od ilości jednostek podległych. Osoba pełniąca tę funkcję będzie musiała posiadać wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych. Do zadań IOD ma należeć między innymi doradztwo i informowanie osób, które przetwarzają dane o obowiązkach spoczywających na nich na mocy przepisów, a także monitorowanie przestrzegania RODO oraz podejmowanie działań zwiększających ich świadomość w zakresie ochrony danych osobowych (np. poprzez organizację szkoleń). Okoliczność wyznaczenia inspektora będzie musiała zostać zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych.

Zgłaszanie naruszeń do 72 godzin
W unijnym rozporządzeniu podkreślono, że przy braku odpowiedniej i szybkiej reakcji, naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych. Dlatego administrator będzie miał obowiązek, aby natychmiast po stwierdzeniu naruszenia ochrony danych osobowych zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, ale nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Ponadto organ będzie musiał poinformować o tym fakcie obywatela, którego dane zostały objęte naruszeniem. Powyższe obowiązki będą obligowały jednostki samorządu terytorialnego do opracowania i dostosowania - do struktury urzędów - wewnętrznych procedur zgłaszania i informowania o naruszeniach.

Postępowanie kontrolne
Celem postępowania kontrolnego ma być weryfikacja przestrzegania przepisów o ochronie danych osobowych. Prezes Urzędu, który będzie powołanym do tego organem zostanie wyposażony w kompetencję do upoważnienia w tym zakresie pracownika Urzędu. Kontrolujący będzie miał szerokie uprawnienia względem kontrolowanej jednostki samorządu terytorialnego. Będzie on miał prawo wglądu do wszystkich dokumentów i informacji mających bezpośredni związek z przedmiotem kontroli oraz kompetencję do przeprowadzenia oględziny urządzeń, nośników oraz systemów służących do przetwarzania danych. Ponadto będzie mógł przesłuchiwać pracowników kontrolowanych jednostek samorządu terytorialnego. Co ważne, ustalenia poczynione w toku przeprowadzonych czynności kontrolnych, będą mogły stanowić podstawę do wszczęcie postępowania.

Postępowanie w sprawie naruszenia przepisów
Postępowanie ma być jednoinstancyjne. Przepisy projektu ustawy zakładają, że organem powołanym do jego przeprowadzenia będzie Prezes Urzędu. W przypadku stwierdzenia przez niego naruszenia przepisów, będzie miał on do dyspozycji katalog uprawnień naprawczych składający się między innymi z upomnienia, wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania danych, nakazania sprostowania lub usunięcia danych osobowych oraz administracyjnej kary pieniężnej. Decyzje wydane przez Prezesa Urzędu mają podlegać natychmiastowemu wykonaniu. Natomiast wniesienie przez jednostkę samorządu terytorialnego skargi do sądu administracyjnego spowoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Odpowiedzialność za naruszenie przepisów
Przepisy zakładają bezpośrednią odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Jednostka samorządu terytorialnego będzie mogła zostać ukarana administracyjną karą pieniężną, a co do osoby winnej uchybień będzie mogło zostań wszczęte postępowanie dyscyplinarne. Dodatkowo obywatele, których prawa zostały naruszone nielegalnym działaniem JST, będą mogli ich dochodzić w postępowaniu cywilnym.

 

- Istotną zmianą będzie nałożenie kar finansowych za nieprzestrzeganie przepisów RODO. Zgodnie z przedłożonym projektem ustawy z 28.3.2017 r. Prezes Urzędu będzie mógł nałożyć w drodze decyzji administracyjną na podmioty publiczne karę pieniężną w wysokości do 100. 000 zł - wskazuje dr Agnieszka Stępień, ekspert Związku Miast Polskich. Warto zaznaczyć, że projektowane przepisy nie zakładają ograniczenia w postaci maksymalnej, łącznej kwoty nałożonych kar lub możliwej ich liczby. Natomiast zgodnie z obowiązującym stanem prawnym, GIODO może nałożyć na osobę prawną grzywnę w wysokości do 50 tysięcy złotych. Przepisy dopuszczają możliwość wielokrotnego karania podmiotów, przy czym łączna kwota grzywien nie może przekroczyć 200 tysięcy złotych.

Ekspert Związku Miast Polskich wskazuje na jeszcze jeden dotkliwy środek, związany jest on z ogłoszeniem decyzji Prezesa Urzędu. - Znacznie dotkliwszym środkiem dla podmiotów publicznych będzie obowiązek ogłoszenia przez Prezesa Urzędu w Biuletynie Informacji Publicznej prawomocnych decyzji administracyjnych zawierających rozstrzygnięcie, a podmioty publiczne będą zobowiązane do udostępniania na swoich stronach internetowych informacji o działaniach podjętych w celu wykonania ww. decyzji - podkreśla dr Agnieszka Stępień.

Podsumowując. Nowe przepisy zakładają konieczność utworzenia nowych stanowisk pracy, a także surową odpowiedzialność finansową samorządów oraz możliwość dochodzenia przez obywateli swoich praw w postępowaniu cywilnym. Powyższe może wiązać się z koniecznością zabezpieczenia w budżecie jednostki samorządu terytorialnego środków na dodatkowe wynagrodzenia, zapłaty administracyjnych kar pieniężnych oraz odszkodowań.