RODO w administracji publicznej

Prze­pi­sy Roz­po­rzą­dze­nia Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 (dalej: „RODO”, „Roz­po­rzą­dze­nie”) oraz pol­skiej usta­wy o ochro­nie danych oso­bo­wych z dnia 10 maja 2018 r. (dalej: „usta­wa”) wpro­wa­dza­ją odręb­ne zasa­dy dla prze­twa­rza­nia danych oso­bo­wych dla pod­mio­tów publicz­nych. Poni­żej wyja­śni­my prze­pi­sy RODO i usta­wy odno­szą­ce się do admi­ni­stra­cji publicznej.

Podmioty uważane za podmioty administracji publicznej

Prze­pi­sy RODO nie wpro­wa­dza­ją defi­ni­cji pod­mio­tów admi­ni­stra­cji publicz­nej, pozo­sta­wia­jąc to do kogni­cji usta­wo­dawstw krajowych.

Pol­ski usta­wo­daw­ca dopre­cy­zo­wał w usta­wie, iż za orga­ny i pod­mio­ty publicz­ne uwa­ża m. in.:

  1. jed­nost­ki sek­to­ra finan­sów publicznych;
  2. insty­tu­ty badawcze;
  3. Naro­do­wy Bank Polski.

Usta­wy oraz RODO nie sto­su­je się jed­nak do dzia­łal­no­ści służb spe­cjal­nych w rozu­mie­niu usta­wy z dnia 24 maja 2002 r. o Agen­cji Bez­pie­czeń­stwa Wewnętrz­ne­go oraz Agen­cji Wywiadu.

Kary RODO

Podstawy przetwarzania danych osobowych 

Dany­mi oso­bo­wy­mi są wszel­kie infor­ma­cje o ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­bie fizycz­nej (np. imię i nazwi­sko, numer Pesel itp.).

Prze­twa­rza­niem danych oso­bo­wych jest ope­ra­cja lub zestaw ope­ra­cji wyko­ny­wa­nych na danych (zbie­ra­nie, utrwa­la­nie itp.).

Prze­twa­rza­nie danych oso­bo­wych przed pod­mio­ty admi­ni­stra­cji publicz­nej jest zgod­ne z pra­wem, jeżeli:

  1. jeże­li wyra­żo­na zosta­ła zgo­da na przetwarzanie;
  2. jest nie­zbęd­ne do wyko­na­nia umowy;
  3. jest to nie­zbęd­ne do wyko­na­nia obo­wiąz­ku praw­ne­go cią­żą­ce­go na administratorze;
  4. jest to nie­zbęd­ne do ochro­ny żywot­nych inte­re­sów oso­by, któ­rej dane doty­czą lub innej oso­by fizycznej;
  5. jest to nie­zbęd­ne do wyko­na­nia zada­nia w inte­re­sie publicz­nym bądź spra­wo­wa­nia wła­dzy publicz­nej przez administratora.

Nad­to, nale­ży zwró­cić uwa­gę, iż orga­ny admi­ni­stra­cji publicz­nej nie mogą powo­ły­wać się na swój praw­nie uza­sad­nio­ny inte­res celem zale­ga­li­zo­wa­nia dzia­łań przez sie­bie posiadanych.

Roz­po­rzą­dze­nie wpro­wa­dza rów­nież odręb­ny kata­log danych oso­bo­wych, uzna­wa­nych za dane szcze­gól­ne. Do kata­lo­gu tego wpro­wa­dzo­no m.in. infor­ma­cje o pocho­dze­niu raso­wym, etnicz­ny, poglą­dy poli­tycz­ne czy dane o sta­nie zdro­wia. Prze­twa­rza­nie takich danych jest co do zasa­dy zabro­nio­ne. Dane sen­sy­tyw­ne mogą być jed­nak prze­twa­rza­ne, gdy m. in. prze­twa­rza­nie jest nie­zbęd­ne ze wzglę­dów zwią­za­nych z waż­nym inte­re­sem publicz­nym lub gdy jest nie­zbęd­ne do celów archi­wal­nych w inte­re­sie publicznym.

W moty­wach RODO pod­kre­ślo­no, iż cel prze­twa­rza­nia musi być okre­ślo­ny w pod­sta­wie praw­nej bądź musi być nie­zbęd­ne do wyko­na­nia zada­nia wyko­ny­wa­ne­go w inte­re­sie publicznym.

Obowiązki podmiotu publicznego jako administratora

Do pod­sta­wo­wych obo­wiąz­ków pod­mio­tów publicz­nych jako admi­ni­stra­to­ra danych oso­bo­wych nale­żą m. in.:

  1. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych celem prze­twa­rza­nia danych oso­bo­wych przez sie­bie posia­da­nych zgod­nie z prze­pi­sa­mi RODO;
  2. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych celem wpro­wa­dze­nia nie­zbęd­nych zabez­pie­czeń ochro­ny danych osobowych;
  3. powo­ła­nie inspek­to­ra ochro­ny danych oso­bo­wych — obligatoryjne;
  4. wyko­ny­wa­nia praw osób, któ­rych dane doty­czą – na ich żądanie;
  5. pro­wa­dze­nia reje­stru czyn­no­ści prze­twa­rza­nia danych oso­bo­wych — obligatoryjne;
  6. prze­pro­wa­dze­nia ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych – obligatoryjne.

Kary administracyjne

Pol­ski usta­wo­daw­ca zde­cy­do­wał się zmniej­szyć kary admi­ni­stra­cyj­ne, jakie mogą być nało­żo­ne na pod­miot publicz­ny w związ­ku z naru­sze­niem prze­pi­sów RODO bądź usta­wy. Zgod­nie bowiem z pol­ski­mi unor­mo­wa­nia­mi admi­ni­stra­cyj­ne kary pie­nięż­ne zosta­ły ogra­ni­czo­ne do kwo­ty 100 000 zło­tych. Kary takie mogą być nało­żo­ne na:

  1. jed­nost­ki sek­to­ra finan­sów publicznych;
  2. insty­tut badawczy;
  3. Naro­do­wy Bank Polski.

W zakre­sie nato­miast pań­stwo­wych i samo­rzą­do­wych insty­tu­cji kul­tu­ry kary te zosta­ły obni­żo­ne do mak­sy­mal­nie 10.000,00 złotych.

Podsumowanie

Pod­su­mo­wu­jąc, orga­ny admi­ni­stra­cji publicz­nej rów­nież pod­le­ga­ją prze­pi­som RODO. Prze­twa­rza­nie danych oso­bo­wych przez orga­ny admi­ni­stra­cji publicz­nej w więk­szo­ści przy­pad­ków wyni­ka z obo­wiąz­ku praw­ne­go. Nie jest to jed­nak jedy­na pod­sta­wa prze­twa­rza­nia danych oso­bo­wych przez te pod­mio­ty, gdyż inny­mi pod­sta­wa­mi mogą być m. in. zgo­da czy wyko­ny­wa­nie umowy.

Masz pyta­nia lub wątpliwości?

Zadzwoń

+48 22 489 52 65

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO

Ocena 

Śred­nia oce­na: 5 / 5. Licz­ba gło­sów: 1