Przejdź do treści

RODO dla JST — obowiązki, sankcje, polityka prywatności portalu

⏱ Szacowany czas czytania: 5 min (983 słów)
Definicja

RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) to rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 obowiązujące od 25 maja 2018 r. Dla Jednostek Samorządu Terytorialnego ma szczególne znaczenie ze względu na ogromne wolumeny danych osobowych mieszkańców przetwarzanych w codziennej działalności. Naruszenia RODO w sektorze publicznym mogą skutkować karami do 10 mln € lub 2% globalnego obrotu.

Pełna nazwa i status prawny

RODO to polski skrót od Rozporządzenie Ogólne o Ochronie Danych Osobowych (angielska nazwa: GDPR — General Data Protection Regulation).

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. — podstawa unijna, obowiązuje bezpośrednio we wszystkich państwach członkowskich UE
  • Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) — krajowa implementacja
  • Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych (PUODO/UODO)

Kluczowe pojęcia RODO

  • Dane osobowe — wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (imię, nazwisko, PESEL, adres, IP, dane biometryczne)
  • Administrator danych — podmiot decydujący o celach i sposobach przetwarzania danych (typowo: wójt, burmistrz, prezydent jako reprezentant gminy)
  • Podmiot przetwarzający — podmiot przetwarzający dane na rzecz administratora (np. dostawca systemu CMS, hosting)
  • Inspektor Ochrony Danych (IOD) — osoba odpowiedzialna za nadzór nad przetwarzaniem (obowiązkowy dla wszystkich JST)
  • RPO — Rejestr Czynności Przetwarzania (dokument wymagany od administratora)
  • DPIA — Data Protection Impact Assessment (ocena skutków dla ochrony danych — obowiązkowa dla ryzykownych operacji)

Sześć podstaw prawnych przetwarzania w JST

  1. Zgoda osoby (art. 6 ust. 1 lit. a) — dobrowolna, świadoma, jednoznaczna. Rzadko w JST (przeważnie inne podstawy)
  2. Wykonanie umowy (art. 6 ust. 1 lit. b) — np. zatrudnienie pracownika gminy
  3. Obowiązek prawny (art. 6 ust. 1 lit. c)najczęstsza podstawa w JST (ewidencja ludności, podatki, ewidencja gruntów)
  4. Żywotne interesy osoby (art. 6 ust. 1 lit. d) — sytuacje wyjątkowe, ochrona życia
  5. Wykonywanie zadania w interesie publicznym (art. 6 ust. 1 lit. e)druga najczęstsza w JST (wydawanie decyzji, edukacja, kultura)
  6. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — NIE ma zastosowania dla jednostek publicznych

Sześć zasad przetwarzania danych (art. 5 RODO)

  1. Zgodność z prawem, rzetelność, przejrzystość — informowanie osób o przetwarzaniu
  2. Ograniczenie celu — dane zebrane dla konkretnego celu
  3. Minimalizacja danych — tylko niezbędne dane
  4. Prawidłowość — aktualne, prawdziwe dane
  5. Ograniczenie przechowywania — retencja zgodna z prawem (np. 50 lat dla ewidencji ludności)
  6. Integralność i poufność — bezpieczeństwo (szyfrowanie, kontrola dostępu)

Prawa osób (art. 13-22 RODO)

  • Prawo dostępu — osoba może żądać kopii swoich danych
  • Prawo do sprostowania — poprawa błędnych danych
  • Prawo do usunięcia („prawo do zapomnienia”) — ograniczone w sektorze publicznym (obowiązek archiwizacji)
  • Prawo do ograniczenia przetwarzania — wstrzymanie operacji
  • Prawo do przenoszenia danych — eksport w formacie strukturalnym
  • Prawo do sprzeciwu — wobec konkretnych operacji
  • Prawo do nieprofilowania automatycznego — wyłączenie z decyzji wyłącznie algorytmicznych

Obowiązki Jednostek Samorządu Terytorialnego

  • Powołanie Inspektora Ochrony Danych (IOD) — obowiązkowe dla wszystkich JST (art. 37 RODO)
  • Prowadzenie Rejestru Czynności Przetwarzania (RPO)
  • Polityka prywatności i klauzule informacyjne w portalu, formularzach, dokumentach
  • Umowy powierzenia przetwarzania danych z dostawcami (hosting, CMS, EZD)
  • Audyty bezpieczeństwa — regularne testowanie zabezpieczeń
  • Procedury naruszeń — zgłaszanie do PUODO w ciągu 72 godzin
  • Szkolenia pracowników — minimum raz w roku
  • DPIA dla ryzykownych operacji — np. monitoring CCTV, profilowanie

Sankcje za naruszenia RODO

Typ naruszenia Kara dla sektora prywatnego Kara dla JST
Naruszenia administracyjne (art. 83 ust. 4) Do 10 mln € lub 2% obrotu Do 100 tys. zł
Poważne naruszenia (art. 83 ust. 5) Do 20 mln € lub 4% obrotu Do 100 tys. zł
Brak IOD Do 50 tys. zł (Polska) Do 50 tys. zł
Brak RPO Naruszenie art. 83 ust. 4 Do 100 tys. zł

Specjalna regulacja dla JST: Ustawa krajowa ogranicza kary administracyjne dla jednostek samorządowych do 100 tys. zł (art. 102 ust. 1 ustawy krajowej).

RODO a portal internetowy JST

Portal jednostki publicznej musi spełniać następujące wymogi RODO:

  • Polityka prywatności — pełna informacja w stopce każdej strony
  • Klauzula cookies — zgoda granularna (analityka, marketing, niezbędne)
  • Klauzule informacyjne przy każdym formularzu
  • Bezpieczne formularze — HTTPS, walidacja, anti-spam
  • Hosting w UE/EOG — art. 44 RODO (transfer poza EOG wymaga zabezpieczeń)
  • Umowy z dostawcami CMS, hostingu, narzędzi analitycznych (umowa powierzenia)
  • Logi dostępu — z anonimizacją IP po okresie retencji
  • Backup z szyfrowaniem — bezpieczne przechowywanie kopii

Pojęcia powiązane

  • WCAG 2.2 AA — wymogi dostępności (część polityki RODO uwzględnia osoby z niepełnosprawnościami)
  • BIP — publikacja informacji urzędowych (niektóre treści wyłączone z RODO)
  • NIS2 — Dyrektywa o cyberbezpieczeństwie (uzupełnienie RODO w aspektach technicznych)
  • eIDAS — Rozporządzenie o usługach zaufania (Profil Zaufany)

Praktyczne wdrożenie dla JST

Źródła i odniesienia

Kontakt

Bezpłatna wycena dla Państwa jednostki

Wypełnienie zajmuje minutę. Odpowiedź eksperta otrzymują Państwo w ciągu 24 godzin roboczych.

Bezpłatnie Bez zobowiązań Odpowiedź w 24h RODO

Dane chronione zgodnie z RODO. Odpowiedź w ciągu 24 godzin roboczych.

Odpowiedź w 24hDni robocze 8:00-16:00
Dane chronionePełna zgodność z RODO
Bez zobowiązańWycena nie wiąże stron