Trzy miesiące minęły od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych. Wprowadziły one uprawnienia dla podmiotów, których dotyczą, ale także obowiązki dla administratorów danych. Sprawdziliśmy, jak po wejściu w życie nowych przepisów radzą sobie z RODO duże miasta.
Problemem brak uregulowania w obszarze 133 ustaw
Według sekretarza Opola Grzegorza Marcjasza brakuje jednoznacznych interpretacji, praktycznych porad, wskazówek czy wyjaśnień, co utrudnia pracownikom realizację nowych przepisów ochrony danych osobowych. - Na szkoleniach pojawiały się rozbieżne informacje, które wprowadzały w błąd i utrudniały zrozumienie nowych przepisów – podkreślił.
Według sekretarza trudności pojawiają się przy zawieraniu umów powierzenia przetwarzania danych osobowych z innymi podmiotami, gdzie występują odmienne interpretacje w zakresie określenia administratora, zasadności podpisania takiej umowy a zdarza się nawet, że podmioty odmawiają jej zawarcia. - Kwestia możliwości przeprowadzenia przez administratora audytu w zakresie ochrony przetwarzanych danych w podmiocie przetwarzającym wzbudza niechęć i kontrowersje – dodał.
Prawo dotyczące administratorów danych osobowych jest niedoprecyzowane >>
Monika Zapotoczna, z-ca dyrektora Departamentu Prezydenta Miasta Zielona Góra poinformowała, że poważnym problemem jest opieszałość ustawodawcy w uregulowaniu stanu prawnego w obszarach 133 ustaw, w których stosowanie przepisów RODO będzie prowadziło do kolizji z obowiązującym polskim prawem. Urząd Miasta w tej kwestii ma poważny problem i czeka na wskazówki interpretacyjne.
W Urzędzie Miasta Lublin wyzwanie stanowi fakt, że rozporządzenie nie wprowadza szczegółowych wytycznych, w jaki sposób należy chronić przetwarzane dane. - To od wyników prowadzonej analizy ryzyka zależy wprowadzenie adekwatnych mechanizmów kontrolnych służące ich zabezpieczeniu. Największe trudności dotyczą w związku z tym umów powierzenia lub stosowania instrumentu prawnego – mówi Olga Mazurek-Podleśna z Biura Prasowego w Kancelarii Prezydenta Miasta Lublin.
Większość obowiązków nie stanowi nowości
Jak zaznacza Sebastian Sobecki, dyrektor Biura ds. Bezpieczeństwa Informacji i jednocześnie IOD Urzędu Miejskiego Wrocławia, większość obowiązków, które wskazuje RODO, nie stanowi nowości, ponieważ wcześniejsza krajowa ustawa o ochronie danych osobowych wskazywała już zasady prawidłowego przetwarzania danych osobowych.
- RODO wyszło jedynie naprzeciw osobom fizycznym, których dane przetwarzają administratorzy, ułatwiając im dotarcie do źródła przetwarzania ich danych, a także wskazało im jednoznacznie podmiot, który jest zobowiązany do realizacji ich praw - dodał.
Jednak jest sporo trudności
W krakowskim magistracie sporo trudności przysporzył obowiązek informacyjny – wymóg każdorazowego informowania osoby, której dane są zbierane i przetwarzane, że administratorem danych jest prezydent miasta Krakowa. - Jest to konieczne niezależnie od tego, czy gromadzenie i przetwarzanie danych następuje na podstawie przepisu prawa czy na podstawie zgody osoby, której dane dotyczą – wyjaśnia Dariusz Nowak, kierownik Referatu ds. Informacji Medialnej w Biurze Prasowym UMK.
Jak się dowiadujemy w magistracie w Białymstoku, dużego wysiłku w skali całego urzędu wymagał obowiązek stosowania klauzul informacyjnych. Czasochłonne było przemyślenie procesów związanych z przetwarzaniem danych i dostosowaniem wzorów druków stosowanych w urzędzie.
Według wrocławskiego IOD praktyka stosowania nowych przepisów nie zawsze jest łatwa ze względu na niedostosowanie innych ustaw krajowych, które są podstawą wykonywania czynności przez urząd. - Bieżące zmiany interpretacyjne w zakresie stosowania RODO oraz wytyczne Urzędu Ochrony Danych Osobowych są stale śledzone i wdrażane, do zmian tych dostosowane są również szkolenia dla osób przetwarzających dane osobowe – podkreślił Sebastian Sobecki.
Wpływ nowych obowiązków na zatrudnienie
RODO nie spowodowało zwiększenia zatrudnienia w Urzędzie Miasta w Białymstoku. Również w Urzędzie Miasta Gorzowa nie wystąpiła konieczność zatrudniania dodatkowych osób w zakresie realizacji zadań wynikających z RODO.
W celu zapewnienia wsparcia dla pracowników Urzędu Miasta Opola w zakresie realizacji obowiązków określonych w przepisach o ochronie danych osobowych, administrator podjął decyzję o utworzeniu Biura Ochrony Danych. W skład Biura wchodzi zastępca Inspektora Ochrony Danych. Trwa nabór na stanowisko ds. ochrony danych osobowych.
W związku z centralizacją zarządzania bezpieczeństwem informacji w gminie miejskiej Kraków konieczne było stworzenie kilku dodatkowych etatów w komórce IOD – zostaną na nich zatrudnieni inspektorzy ochrony danych osobowych obsługujący samorządowe szkoły i placówki. - Centralizacja ma na celu przede wszystkim ujednolicenie standardów tego zarządzania bezpieczeństwem informacji w skali całej gminy oraz upowszechnienie dobrych praktyk – podkreśla Dariusz Nowak.
W strukturze Urzędu Miasta Lublin powołane zostało Biuro Bezpieczeństwa Informacji, w skład którego wchodzi czterech pracowników - dyrektor, kierownik referatu i dwóch pracowników. Do pełnienia funkcji Administratora Bezpieczeństwa Informacji powołany został dyrektor tego biura.
Od ponad roku w każdej komórce organizacyjnej wrocławskiego urzędu miasta funkcjonują konsultanci, którzy są przedstawicielami swoich komórek w merytorycznym zakresie dot. ochrony danych osobowych. Biuro ds. Bezpieczeństwa Informacji na bieżąco szkoli i współpracuje z nimi, zlecając im pod swoim nadzorem, m.in. zadania z zakresu ochrony danych i bezpieczeństwa informacji do wdrożenia w ramach funkcjonowania komórki organizacyjnej. - Dzięki takiemu rozwiązaniu i podejściu, brak było konieczności radykalnego rozbudowywania biura, które aktualnie rozszerzone zostanie o fachowca z dziedziny analizy ryzyka – podkreśla dyrektor Sebastian Sobecki.
Koszty po stronie miast
Koszty związane z wprowadzeniem RODO w Urzędzie Miasta Lublin sprowadzają się do przeprowadzenia szkoleń. Gorzowski magistrat nie poniósł dodatkowych kosztów związanych z koniecznością dostosowania przepisów RODO do ustawowej działalności.
Po stronie Urzędu Miasta Opola koszty to: 4 tys. złotych na przeprowadzenie szkolenia dla kadry kierowniczej komórek organizacyjnych w zakresie nowych przepisów ochrony danych osobowych, 3 700 tys. złotych brutto/miesiąc – utworzenie nowego etatu oraz koszty pośrednie związane z wydrukiem zaktualizowanych dokumentów (np. umów powierzenia przetwarzania danych, obowiązku informacyjnego, wewnętrznych procedur).
Koszty związane z bezpieczeństwem ponoszone są w białostockim urzędzie miasta stale, nieustannie podnoszony jest poziom bezpieczeństwa. Trudno więc mówić o kosztach zapewnienia bezpieczeństwa tylko ze względu na RODO. W 2016 roku w Urzędzie zakończyło się wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), zgodnego z normami ISO. Znacznie ułatwiło to wprowadzenie RODO i zmniejszyło koszty, które w innej sytuacji można by przypisać zmianom przepisów dotyczących ochrony danych osobowych.
Czytaj też RODO może być nową podstawą roszczeń cywilnych, także pacjentów >>