Andrzej Pieśla
Najwyższa Izba Kontroli oceniła przygotowanie administracji publicznej do wdrożenia procedur RODO. Zasadniczo systemy przetwarzania i zabezpieczania danych osobowych oraz procedury dotyczące ich ochrony opracowano i wprowadzono w życie zgodnie z wymaganiami.
Po dwuletnim okresie przejściowym, 25 maja 2018 roku zaczęły obowiązywać w Polsce przepisy dotyczące RODO, czyli ochrony danych osobowych. Wśród wybranych przez NIK do kontroli ich wdrożenia znalazły się urzędy, które w najszerszym zakresie przetwarzają dane osobowe – urzędy wojewódzkie oraz urzędy dużych miast, a także MSWiA ponieważ to właśnie szef tego resortu zapewnia m.in. funkcjonowanie wydzielonej sieci umożliwiającej organom gmin i wojewodom dostęp do rejestru dowodów osobistych i do Rejestru PESEL. W grupie tej znalazły się m.in. Zachodniopomorski Urząd Wojewódzki, Urząd Miasta Szczecin, Urzędy Miejskie w Stargardzie i w Policach.
W ocenie NIK, administracja publiczna radziła sobie z wyzwaniami związanymi z wprowadzeniem RODO w sposób zadowalający. Należy jednak pamiętać, że kontrolowane były urzędy w największych i dużych miastach, które mają odpowiednie kadry i możliwości finansowe by właściwie zabezpieczyć dane osobowe (zarówno fizycznie jak i technicznie) oraz diagnozować zagrożenia związane z ich zbieraniem, przetwarzaniem i przechowywaniem.
Jednym z sygnalizowanych mankamentów, dotyczących także gmin z obszaru Pomorza Zachodniego, jest niedostateczna współpraca urzędów w zakresie stosowania RODO z ich jednostkami podległymi. Brakuje w niej ścisłego nadzoru, ogranicza się zasadniczo do roboczych kontaktów oraz doraźnej pomocy w sytuacjach problematycznych. Spośród 12 skontrolowanych urzędów gmin, jednostki podległe 11 z nich samodzielnie powoływały IOD, opracowywały wewnętrzne procedury dotyczące bezpieczeństwa i ochrony danych osobowych. Jedynie Miasto Kraków ściślej i kompleksowo współpracowało z jednostkami podległymi, m.in. w Urzędzie Miasta byli usytuowani IOD dla jednostek podległych.
We wnioskach z kontroli Zachodniopomorski Urząd Wojewódzki wskazano jako przykład odpowiedniego do potrzeb analizowania ryzyka i wdrażania działań naprawczych i szacowano poziom ryzyka dla poszczególnych procesów wraz z planem reakcji na ewentualne wystąpienie ryzyka. W lutym 2018 r. powołano w nim Zespół do spraw wdrożenia RODO, którego zadaniem było m.in. przeprowadzenie analizy i oceny ryzyka wiążącego się z przetwarzaniem danych oraz przegląd dokumentacji ich przetwarzania. Podsumowanie działań Zespołu zostało przedstawione Wojewodzie w sprawozdaniu z 30 kwietnia 2018 roku.
W kontrolowanych jednostkach Inspektorzy Ochrony Danych Osobowych mieli zapewnioną niezależność6 poprzez uregulowanie ich podległości tylko w stosunku do administratora, tj. ministra, wojewody czy prezydenta miasta, z wyjątkiem Urzędu Miejskiego w Stargardzie, gdzie IOD, zgodnie ze schematem organizacyjnym, podlegał także, pod względem merytorycznym, Sekretarzowi Miasta. Zdaniem Prezydenta Miasta wskazana w schemacie organizacyjnym dodatkowa podległość IOD Sekretarzowi Miasta dotyczyła głównie bieżących spraw administracyjnych, a Sekretarz nie ingerował w realizację zadań przez IOD. W ocenie NIK merytoryczny nadzór Sekretarza nad IOD stwarza możliwość władczego oddziaływania na istotne sprawy pozostające w gestii IOD i jest niezgodny z art. 38 ust. 3 RODO.
W pięciu przypadkach (na 12 badanych) urzędy skorzystały z możliwości określonej w art. 37 ust. 6 RODO, powierzając zadania IOD firmom zewnętrznym. Dotyczyło to trzech instytucji z Pomorza Zachodniego. W pięciu przypadkach (na 12 badanych) urzędy skorzystały z możliwości określonej w art. 37 ust. 6 RODO, powierzając zadania IOD firmom zewnętrznym. W Szczecinie w placówkach edukacyjnych, przedszkolnych i żłobkach zawarto umowę na pełnienie funkcji IOD ze Szczecińskim Parkiem Naukowo – Technologicznym. W Policach na 25 jednostek podległych w 15 przypadkach IOD byli pracownikami jednostek, a w pozostałych dziesięciu zawarto odrębne umowy z podmiotem zewnętrznym. W Stargardzie na 32 jednostki w sześciu przypadkach funkcję IOD pełnił pracownik tej jednostki, a w pozostałych 26 jednostkach zawarto umowy z podmiotem zewnętrznym.
W większości skontrolowanych jednostek zastosowane środki bezpieczeństwa (techniczne, fizyczne i informatyczne), służące utrzymaniu poufności, integralności oraz dostępności systemów i usług przetwarzania, były zgodne z wewnętrznymi uregulowaniami dotyczącymi ochrony danych osobowych obowiązującymi w tych jednostkach. Zgodnie z tymi procedurami, dostęp do zasobów informatycznych urzędów wymagał odpowiedniego uwierzytelnienia. Pracownicy oraz osoby zatrudniane na podstawie umów cywilno- -prawnych mieli upoważnienia do przetwarzania danych osobowych.
