Administracja publiczna przetwarza bardzo duże ilości danych osobowych, ponieważ realizuje zadania związane z ewidencją ludności, pomocą społeczną, edukacją, ochroną zdrowia, podatkami, świadczeniami oraz prowadzeniem postępowań administracyjnych. W praktyce oznacza to stałe operowanie danymi identyfikacyjnymi, adresowymi, finansowymi, a nierzadko także danymi szczególnych kategorii. RODO ma zastosowanie do większości krajowych podmiotów publicznych, natomiast sposób wykonywania niektórych obowiązków jest doprecyzowywany przez prawo krajowe.
Zapraszamy do współpracy
Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.
Co oznacza administracja publiczna w kontekście RODO
RODO nie wprowadza odrębnej definicji „administracji publicznej” jako osobnej kategorii podmiotów. Rozporządzenie posługuje się pojęciem organu lub podmiotu publicznego. W Polsce, na potrzeby obowiązku wyznaczenia inspektora ochrony danych, ustawodawca wskazał w art. 9 ustawy z 10 maja 2018 r. o ochronie danych osobowych, że chodzi w szczególności o jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski. RODO przewiduje też wyjątek dla sądów w zakresie sprawowania wymiaru sprawiedliwości.
Kto jest administratorem danych w urzędzie lub jednostce publicznej
Punktem wyjścia zawsze pozostaje definicja administratora z art. 4 pkt 7 RODO. Administratorem jest ten podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, a jeżeli cele i sposoby wynikają wprost z prawa, to również przepisy mogą wskazywać administratora albo kryteria jego wyznaczenia. W administracji publicznej nie zawsze będzie to po prostu „urząd” rozumiany potocznie. Czasem administratorem jest określony organ, czasem jednostka organizacyjna, a czasem osoba pełniąca konkretną funkcję, czego przykładem jest stanowisko UODO dotyczące kierownika urzędu stanu cywilnego. Dlatego poprawne ustalenie administratora powinno zawsze wynikać z analizy przepisów ustrojowych i sektorowych, a nie z samego nazewnictwa jednostki.
Na jakiej podstawie administracja publiczna przetwarza dane osobowe
W sektorze publicznym podstawą przetwarzania danych najczęściej nie jest zgoda, lecz przepis prawa albo wykonywanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. W praktyce kluczowe znaczenie mają art. 6 ust. 1 lit. c i e RODO. Rozporządzenie wyraźnie wskazuje również, że podstawa takiego przetwarzania powinna wynikać z prawa Unii albo prawa państwa członkowskiego. Oznacza to, że urząd nie powinien opierać podstawowych czynności urzędowych na zgodzie obywatela, jeżeli obowiązek lub uprawnienie do przetwarzania wynika już z ustawy.
Jeżeli administracja publiczna przetwarza dane szczególnych kategorii, na przykład dane o zdrowiu, dane biometryczne albo informacje ujawniające pochodzenie rasowe lub etniczne, musi spełnić dodatkową przesłankę z art. 9 ust. 2 RODO. Sam fakt, że urząd realizuje zadanie publiczne, nie znosi automatycznie zakazu przetwarzania takich danych. Zgoda może być jedną z wyjątkowych podstaw, ale w relacji obywatel, organ publiczny, trzeba oceniać ją bardzo ostrożnie, ponieważ nie w każdej sytuacji będzie miała rzeczywiście dobrowolny charakter.
Najważniejsze obowiązki administratora w administracji publicznej
Jednym z podstawowych obowiązków administratora jest prowadzenie rejestru czynności przetwarzania. Wynika to z art. 30 RODO. Rejestr powinien obejmować między innymi cele przetwarzania, kategorie osób, kategorie danych, odbiorców danych oraz informacje o przekazaniach do państw trzecich, jeżeli takie występują. W jednostce publicznej nie jest to dokument tworzony wyłącznie na potrzeby kontroli, lecz praktyczne narzędzie porządkujące procesy, odpowiedzialności i okresy przechowywania danych.
Równie ważny jest obowiązek informacyjny. Gdy dane są zbierane bezpośrednio od osoby, zastosowanie ma art. 13 RODO, a gdy są pozyskiwane z innego źródła, art. 14 RODO. Obywatel powinien otrzymać jasną informację o tożsamości administratora, danych kontaktowych inspektora ochrony danych, celach przetwarzania, podstawie prawnej, odbiorcach danych oraz okresie przechowywania albo kryteriach jego ustalania. W administracji publicznej przejrzystość ma szczególne znaczenie, ponieważ obywatel często nie może po prostu zrezygnować z kontaktu z urzędem, dlatego zakres informacji musi być podany w sposób realnie zrozumiały, a nie wyłącznie formalny.
Istotnym elementem systemu zgodności jest także zasada rozliczalności i bezpieczeństwa. Administrator ma nie tylko przestrzegać zasad przetwarzania, ale również umieć wykazać, że robi to prawidłowo. W praktyce oznacza to potrzebę wdrożenia odpowiednich środków technicznych i organizacyjnych, uporządkowania upoważnień, kontroli dostępu, polityk wewnętrznych, zasad retencji, procedur reagowania na incydenty oraz regularnych szkoleń dla personelu. W urzędzie zgodność z RODO nie polega więc na posiadaniu jednego dokumentu, lecz na codziennym zarządzaniu procesami przetwarzania.
Inspektor ochrony danych w jednostce publicznej
W przypadku organów i podmiotów publicznych wyznaczenie inspektora ochrony danych jest co do zasady obowiązkowe. RODO stanowi, że administrator oraz podmiot przetwarzający wyznaczają inspektora zawsze wtedy, gdy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości. Inspektor nie jest jedynie formalnym dodatkiem do dokumentacji. Jego zadania obejmują informowanie administratora i pracowników o obowiązkach wynikających z przepisów, monitorowanie zgodności, szkolenia, audyty, doradztwo przy ocenie skutków dla ochrony danych oraz współpracę z organem nadzorczym.
Trzeba przy tym wyraźnie podkreślić, że inspektor ochrony danych powinien działać niezależnie. Administrator ma obowiązek zapewnić mu zasoby, dostęp do informacji i realne włączenie we wszystkie sprawy dotyczące ochrony danych osobowych. RODO przewiduje również, że inspektor nie może otrzymywać instrukcji co do wykonywania swoich zadań i nie może być odwoływany ani karany za ich wykonywanie. To nie oznacza jednak, że do zakończenia współpracy z inspektorem potrzebna jest zgoda Prezesa UODO, ponieważ taki wymóg nie wynika z rozporządzenia.
Czy każda jednostka publiczna musi robić DPIA
Nie. Ocena skutków dla ochrony danych, czyli DPIA, jest wymagana wtedy, gdy dany rodzaj przetwarzania, zwłaszcza z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. O obowiązku DPIA nie decyduje więc sama obecność danych szczególnych kategorii ani sam fakt, że chodzi o urząd. Znaczenie ma konkretne ryzyko związane z danym procesem, na przykład z monitorowaniem, dużą skalą przetwarzania, profilowaniem albo łączeniem różnych zbiorów danych.
Naruszenia ochrony danych w administracji publicznej
Jednostka publiczna musi być przygotowana na incydenty i naruszenia ochrony danych osobowych. Zgodnie z art. 33 RODO administrator zgłasza naruszenie organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, aby zdarzenie powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli ryzyko jest wysokie, może powstać również obowiązek zawiadomienia osób, których dane dotyczą, zgodnie z art. 34 RODO. W praktyce oznacza to konieczność posiadania procedur, które pozwolą szybko ocenić zdarzenie, podjąć działania naprawcze i prawidłowo je udokumentować.
Prawa osób, których dane dotyczą
Osoba, której dane dotyczą, ma wobec podmiotu publicznego takie same podstawowe prawa jak wobec podmiotu prywatnego, jednak sposób ich realizacji bywa ograniczony charakterem zadań publicznych i przepisami szczególnymi. Obywatel ma prawo dostępu do danych, ich sprostowania, ograniczenia przetwarzania, a w określonych sytuacjach także usunięcia danych. Jednocześnie nie każde żądanie będzie mogło zostać uwzględnione, ponieważ część danych musi być dalej przetwarzana z uwagi na obowiązki ustawowe, archiwizację, interes publiczny albo konieczność prowadzenia postępowania.
Szczególnie ważne jest prawidłowe rozumienie prawa do przenoszenia danych i prawa do sprzeciwu. Prawo do przenoszenia dotyczy co do zasady danych przetwarzanych na podstawie zgody albo umowy i w sposób zautomatyzowany. Nie ma ono zastosowania do przetwarzania niezbędnego do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Z kolei prawo do sprzeciwu może być wykonywane wobec przetwarzania opartego na art. 6 ust. 1 lit. e lub f RODO, ale nie działa automatycznie w taki sposób, że każde żądanie obywatela blokuje dalsze przetwarzanie. Administrator musi ocenić, czy istnieją nadrzędne podstawy dalszego przetwarzania wynikające z prawa lub z charakteru zadania publicznego.
Kontrola UODO i sankcje
Podmioty publiczne podlegają kontroli Prezesa UODO i powinny być przygotowane do wykazania zgodności z przepisami. W praktyce znaczenie mają aktualna dokumentacja, rejestr czynności przetwarzania, procedury naruszeń, właściwie zorganizowana współpraca z inspektorem ochrony danych oraz dowody realizacji obowiązków informacyjnych i szkoleń. Trzeba też pamiętać, że polskie przepisy przewidują odrębny limit administracyjnych kar pieniężnych dla jednostek sektora finansów publicznych, instytutów badawczych oraz Narodowego Banku Polskiego. W takich przypadkach Prezes UODO może nałożyć karę do 100 000 zł, a nie do 20 mln euro, choć sam mechanizm oceny naruszenia nadal odwołuje się do zasad z art. 83 RODO.
Podsumowanie
RODO w administracji publicznej nie jest dodatkiem do działalności urzędu, lecz jednym z elementów prawidłowego wykonywania zadań publicznych. Najważniejsze znaczenie ma tu nie sama liczba dokumentów, lecz zgodne z prawem ustalenie podstaw przetwarzania, prawidłowe określenie administratora, rzeczywiste zaangażowanie inspektora ochrony danych, aktualna dokumentacja, sprawne procedury reagowania na incydenty oraz umiejętność realizacji praw osób, których dane dotyczą. Dobrze wdrożone zasady ochrony danych wzmacniają legalność działania urzędu, ograniczają ryzyko naruszeń i budują zaufanie obywateli do instytucji publicznych.
| Redakcja BPPZ.pl
RODO w administracji publicznej – najczęściej zadawane pytania
Czy urząd musi powołać IOD, nawet jeśli zatrudnia mniej niż 250 osób?
Tak, w administracji publicznej IOD jest obowiązkowy niezależnie od wielkości jednostki (art. 37 ust. 1 lit. a RODO). To wymóg wynikający z charakteru przetwarzania danych publicznych.
Jak długo urząd ma czas na odpowiedź na żądanie dostępu do danych?
Standardowo miesiąc, z możliwością przedłużenia do trzech miesięcy przy dużej złożoności. Opóźnienie może skutkować skargą do UODO i karą.
Czy monitoring w urzędzie wymaga DPIA?
Zdecydowanie tak, jeśli obejmuje dane biometryczne lub dużą skalę – to wysokie ryzyko według art. 35 RODO. Zalecamy konsultację z ekspertami, np. z Biura Porad Prawnych Zacharski, przed instalacją kamer.
Co zrobić w razie wycieku danych osobowych?
Natychmiast ocenić ryzyko, powiadomić IOD, a jeśli wysokie – zgłosić do UODO w 72 godziny. Dokumentuj wszystko dla ewentualnej kontroli.
Czy zgoda jest potrzebna do przetwarzania danych z KRK?
Nie, Krajowy Rejestr Karny działa na podstawie prawa (ustawa o KPS), więc podstawą jest art. 6 ust. 1 lit. c RODO, a nie zgoda.
Jakie kary grożą za brak RCP w urzędzie?
Do 20 mln euro lub 4% budżetu – UODO w 2024 r. nałożył już kilka takich grzywien na samorządy. Audyt z Biurem Porad Prawnych Zacharski zapobiega temu.
