Finanse publiczne

Strona główna » Maj 2018 » Prawo » Ochrona danych osobowych w zgodzie z przepisami rodo

Brosz o finansach

Październik 2018

Polecamy

Książki

Publikacje wydawane w ramach Biblioteki Finanse Publiczne oraz Biblioteki Administracja Publiczna to profesjonalne i praktyczne opracowania podejmujące zagadnienia z zakresu szeroko rozumianej administracji publicznej. więcej »

 
Dariusz Wasiak, Tomasz Radziszewski

Ochrona danych osobowych w zgodzie z przepisami rodo

Od 25 maja zaczną obowiązywać przepisy unijnego ogólnego rozporządzenia w sprawie ochrony danych osobowych. To oznacza konieczność przeanalizowania i zaktualizowania stosowanej w jednostce dokumentacji, w tym tej związanej z prowadzeniem rachunkowości, tak by zdążyć z opracowaniem odpowiednich procedur jeszcze przed wejściem nowych regulacji w życie.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo), które wchodzi w życie 25 maja 2018 r., istotnie wpłynie na kształt nowego modelu ochrony danych i dbałości o prywatność osób, których dane są przetwarzane. O problematyce nowych przepisów napisano już wiele. Nie zmienia to faktu, że obszerność i stopień skomplikowania tych regulacji, a także nadal zbyt niska świadomość społeczna, wymagają dalszej, nawet bardziej wzmożonej działalności popularyzatorskiej i szkoleniowej w tym zakresie, co jest także w pełni zgodne z jednym z celów ogólnych rodo.

Niniejsza publikacja ma na celu przede wszystkim wskazanie kilku praktycznych podpowiedzi, których wykorzystanie pozwoli administratorowi danych osobowych1 w instytucji z sektora finansów publicznych (np. wójtowi), ustalającemu samodzielnie lub wspólnie z innymi cele i sposoby przetwarzania danych osobowych, sprawniej wypełnić obowiązki prawne określone zarówno w rodo, jak i w ostatecznym kształcie przyszłej ustawy o ochronie danych osobowych. Opracowanie opiera się głównie na:

  • przepisach rodo;
  • projekcie ustawy o ochronie danych osobowych2 (dalej: projekt uodo);
  • ustawie o finansach publicznych (dalej: ufp);
  •  ustawie o rachunkowości (dalej: uor);
  • ustawie o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym;
  • ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne;
  • wytycznych Ministerstwa Cyfryzacji z dnia 15 grudnia 2015 r. dla kontroli działania systemów informatycznych używanych do realizacji zadań publicznych3 (dalej: wytyczne MC);
  • rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych (dalej: rozporządzenie w sprawie certyfikatów kontroli).

Uwagi wprowadzające

Dla porządku warto wyjaśnić w zarysie status rodo (zob. ramka „Zasady rodo”) jako aktu normatywnego o zasięgu ogólnym4, wiążącego w całości i stosowanego bezpośrednio we wszystkich krajach członkowskich UE5. Przedmiotowe rozporządzenie nie jest aktem harmonizacji prawa (jak dotychczas obowiązująca dyrektywa), ale instrumentem unifikacji prawa na całym terytorium Unii. Rozporządzenia mają być stosowane jako prawo Unii, a to oznacza, że implementacja przepisów rozporządzeń do prawa krajowego oraz precyzowanie treści rozporządzeń w przepisach prawa krajowego jest co do zasady niedopuszczalne6. Od reguły tej istnieją jednak odstępstwa, ponieważ samo rozporządzenie przewiduje wydanie określonych przepisów krajowych lub przepisów uzupełniających (w ściśle określonym zakresie), odbiegających od przepisów rozporządzenia.

Zgodnie z nakazem określonym w art. 24 rodo administrator danych – uwzględniając charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z tego przetwarzania – jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, które muszą być zaprojektowane w taki sposób, by skutecznie chroniły prawa osób, których dane dotyczą. Z kolei w świetle art. 25 rodo zaprojektowane procesy ochrony praw osób, których dane dotyczą, muszą być poddane prognozie już na etapie samego projektowania i wymuszać domyślne realizowanie ochrony. Od administratora wymaga się przy tym, aby wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

[…]

Dariusz Wasiak jest doktorem nauk prawnych, doradcą z zakresu bezpieczeństwa informacji i ochrony danych osobowych, wykładowcą przedmiotów ściśle związanych z tą tematyką (www.2lex.pl).

Tomasz Radziszewski jest doktorantem na Wydziale Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego, praktykiem i wykładowcą z zakresu zabezpieczania informacji (www.5de.pl).

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.