RODO w jednostkach samorządu terytorialnego. Sprawdź, na co zwrócić uwagę - przykłady

Barbara Dąbrowska

Autor: Barbara Dąbrowska

Dodano: 21 maja 2018
Pytanie:  Czy RODO dotyczy jednostek samorządu terytorialnego?
Odpowiedź: 

Tak, RODO dotyczy wszystkich administratorów danych osobowych w tym jednostki samorządu terytorialnego, które przetwarzają dane osobowe osób fizycznych.

Pod pojęciem danych osobowych rozumiemy informacje o zidentyfikowanej lub  możliwej do zidentyfikowania osobie fizycznej („osobie, której dane  dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na  podstawie identyfikatora takiego jak:

  • imię i nazwisko,
  • numer identyfikacyjny,
  • dane o lokalizacji,
  • identyfikator internetowy lub
  • jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przetwarzanie danych

Natomiast przetwarzanie danych osobowych zgodnie z art. 4 ust. 2 RODO polega na: zbieraniu, utrwalaniu, organizowaniu, porządkowaniu, przeglądaniu, pobieraniu, modyfikowaniu, przechowywaniu, wykorzystywaniu, łączeniu, udostępnianiu, usuwaniu.

W ramach centralizacji (działając na podstawie art. 10a do 10d ustawy z 8 marca 1990 r. o samorządzie gminy, gminy mogą zapewnić wspólną obsługę kadrową, płacową, księgową, finansową i organizacyjną.

W samorządach tworzone są centra usług wspólnych wykonujące pracę na rzecz innych jednostek na podstawie porozumień zawartych przez jednostkę obsługiwaną z jednostką obsługującą.

Jednostka obsługującą jest uprawniona do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu  niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki.

Przykładowo centrum usług wspólnych obsługujące pracowników oświaty nie jest administratorem danych osobowych obsługiwanych firm jest procesorem natomiast, administratorem dla nauczyciela jest szkoła, w której jest zatrudniony.

Nowe aspekty do uzgodnienia w JST

Należy zawrzeć w aneksach do porozumień postanowienia określone w art. 28 ust. 3  RODO dotyczące prawa administratora do przeprowadzania audytów, powiadomienia o incydentach przez procesora w czasie krótszym niż 72 godziny, procedury w razie zgłoszenia do PUODO działań naruszających przepisy ochrony danych osobowych.

Przykładowe zapisy

Prawo kontroli

 

  1. Administrator danych zgodnie z art. 28 ust. 3 lit. h Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu                                    i zabezpieczaniu powierzonych danych osobowych spełniają postanowienia umowy.
  2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum ………………………. (należy wpisać z jakim wyprzedzeniem Administrator danych informuje o kontroli) uprzedzeniem.
  3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez administratora danych nie dłużej niż 7 dni                         (można wyznaczyć inny dowolny termin).
  4. Podmiot przetwarzający udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.

Odpowiedzialność podmiotu przetwarzającego

  1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
  2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakimkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w  CUW JST tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych.

Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

Sposób wykonania umowy w zakresie przetwarzania danych osobowych

  1. Podmiot przetwarzający pomaga Administratorowi danych w niezbędnym zakresie wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków wynikających z art. 32-36 Rozporządzenia.
  2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi danych w ciągu ……………… (np. 24 godzin).
Podmioty powinny na piśmie udokumentować wzajemne zobowiązania w odniesieniu do przetwarzania danych osobowych.
Barbara Dąbrowska

Autor: Barbara Dąbrowska

absolwentka studiów MBA, dyrektor ds. finansów i compliance w firmie consultingowej, manager Działu Księgowości w międzynarodowej firmie leasingowej, trener – wykładowca Centrum Szkoleniowe FRR Sp. z o.o.
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz