Miesięcznik informatyków i menedżerów IT sektora publicznego

Marlena Sakowska-Baryła

Co informatyk powinien wiedzieć o obowiązkach wynikających z rodo

Rewolucja w ochronie danych osobowych właściwie już dziś jest faktem. Nie można więc czekać do 25 maja 2018 r., kiedy to rodo zacznie być stosowane, ale już teraz trzeba określić, jaki wpływ wywrze ono na pracę informatyka w jednostce organizacyjnej.

Rys. B. Brosz

Zmiany w zasadach organizacji systemu ochrony danych osobowych powinny angażować uwagę przede wszystkim administratorów i podmiotów przetwarzających, bo do tych grup zasadniczo adresowane są przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz L 119 z 4.05.2016 r.; dalej: rodo). Praktyka pokazuje jednak, że wdrożeniem wymogów rodo często obarczany jest urzędowy informatyk albo – szerzej – pion informatyki, ponieważ ochronę danych osobowych (po części słusznie) kojarzy się z ich zabezpieczeniem technicznym, co w realiach przetwarzania danych przy użyciu systemów informatycznych zrównuje się z zabezpieczeniem takich systemów. Pomimo licznych głosów krytyki bywa też, że ów informatyk jest administratorem bezpieczeństwa informacji (ABI) i administratorem systemów informatycznych (ASI), stając się w ten sposób jednocześnie podmiotem kontrolującym i kontrolowanym, co nie powinno mieć miejsca (zob. itwa.pl/a1, dostęp: 24.09.2017 r.).

Informatyk a rodo

Ochrona danych osobowych w systemach informatycznych to tylko część znacznie szerszej materii, jaką jest zapewnienie zgodności ich przetwarzania z przepisami prawa. Ochrona danych osobowych dziś i na gruncie rodo to szereg procedur postępowania z danymi osobowymi, których wprowadzenie i przestrzeganie ma przynieść efekt w postaci wykazania, że konkretny administrator (podmiot przetwarzający) działa zgodnie z prawem. Tytułowy informatyk zatem nie jest i nie powinien być jedynym podmiotem odpowiedzialnym za ochronę danych i wdrożenie rodo. To proces, który wprawdzie potrzebuje lidera i informatyk może nim zostać, ale wymaga się tu sprawnej współpracy wszystkich komórek organizacyjnych, których zadania związane są z przetwarzaniem danych osobowych, także tych opracowujących strategie działania organizacji oraz poszczególne zadania w ich obrębie (zwykle angażują one osoby fizyczne lub są im dedykowane, co powoduje konieczność przetwarzania danych osobowych). Potrzeba też zaangażowania komórek odpowiadających za organizację pracy i za zabezpieczenie fizyczne, działu zamówień publicznych oraz obsługi prawnej, z którą służby informatyczne przy wdrażaniu nowych zasad ochrony danych muszą ściśle współpracować.

Wdrażanie rodo zatem nie powinno być i nie jest obowiązkiem urzędowego informatyka, ale administratora, a konkretyzując – kierownika jednostki organizacyjnej będącej administratorem, ponieważ to administrator ponosi odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych w jego organizacji. Analogicznie rzecz się ma w przypadku, gdy dana jednostka organizacyjna pozostaje podmiotem przetwarzającym. Nie oznacza to jednak, że stosowanie rodo nie będzie wiązać się z nowymi obowiązkami informatyków. Pierwszym z nich jest wypracowanie nowego – proaktywnego podejścia do ochrony danych osobowych.

Aktywny udział informatyka

Uczestnicząc w stosowaniu rodo, informatyk musi odwyknąć od tego, że poszczególne rozwiązania z zakresu organizacji i zabezpieczenia wynikały wprost z przepisów prawa, a jego rolą było dopilnowanie, by system informatyczny służący do przetwarzania danych odpowiadał wymogom rozporządzenia MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024). Po pierwsze bowiem, akt ten przestanie obowiązywać wraz z wyeliminowaniem z porządku prawnego ustawy o ochronie danych osobowych (uodo), co nastąpi niebawem, zważywszy na to, że 14 września 2017 r. ogłoszono projekt nowej ustawy o ochronie danych osobowych. Po drugie, przepisy rodo w ogóle nie przewidują wydawania przez prawodawcę krajowego przepisów określających techniczne aspekty organizacji i zabezpieczenia danych osobowych.

[...]

Marlena Sakowska-Baryła, autorka jest doktorem nauk prawnych, radcą prawnym, redaktorem naczelnym kwartalnika „ABI Expert”, partnerem w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej