Jak samorządy radzą sobie z RODO?

Prezes UODO ogłosił, że pomimo pewnych problemów samorząd terytorialny dobrze radzi sobie z RODO.

Prezes UODO zachęca samorządy do:

1. Inwestycji w edukację personelu (w tym kierownictwa) z zakresu ochrony danych osobowych
2. tworzenie kodeksów postępowania.

Niestety mnie optymistyczny jest raport Najwyższej Izby Kontroli „żeby elektronicznie znaczyło bezpiecznie”. NIK stwierdził, że dane osobowe przetwarzane przez samorządy są często słabo chronione.

NIK wnioskuje do starostów, prezydentów miast, burmistrzów i wójtów m.in. o:

1. prowadzenie okresowych analiz ryzyka utraty integralności, poufności lub dostępności informacji
2. opracowanie i wdrożenie oraz aktualizowanie Systemu Zarządzania Bezpieczeństwem Informacji
3. zapewnienie prowadzenia przynajmniej raz w roku okresowego audytu wewnętrznego z zakresu bezpieczeństwa informacji
4. przeprowadzenie analizy i oceny procesów przetwarzania danych

Zobacz: Bezpieczeństwo

Natomiast z moich obserwacji wynika, że jest nieliczna grupa jednostek samorządów terytorialnych które z RODO poradziły sobie bardzo dobrze, nieliczna która nie poradziła sobie. Natomiast większość jednostek samorządu terytorialnego poradziła sobie tak sobie.

Największe problemy we wdrażaniu RODO i utrzymania Systemów Bezpieczeństwa Danych Osobowych wynikają z:

1. częstego braku odpowiednich budżetów na wdrożenia, szkolenia i audyty
2. często niskiej świadomości zagadnień związanych z RODO lub kiepskiego ich rozumienia przez władze oraz słabego wsparcia Inspektorów Danych Osobowych. Niestety nie da się wdrożyć skutecznych Systemów Bezpieczeństwa Danych Osobowych bez właściwego wsparcia góry

Równie duże problemy są powiązane z Inspektorami Ochrony Danych (dalej IOD):

1. często są to ludzie z łapanki, nie spełniający wymagań które RODO stawia IOD`om
2. jest bardzo mało ekspertów mogących być IOD
3. wynagradzanie IOD często jest na żenująco niskim poziomie, co nie ułatwia zatrudniania lub utrzymania ekspertów
4. zdarza się zlecanie IOD dodatkowych zadań, często będących w konflikcie z obowiązkami IOD

W sumie w samorządzie terytorialnym można zauważyć te same problemy i zjawiska co w biznesie, z tą różnicą że w biznesie niektórzy jeszcze nie wiedzą lub udają że nie wiedzą że istnieje coś takiego jak ochrona danych osobowych, a w samorządzie raczej się to nie zdarza.

Rady dla samorządów terytorialnych są takie same jak dla biznesu:

1. szkolić pracowników w tym kadrę kierowniczą
2. przeprowadzić audyty powdrożeniowe
3. traktować wydatki na ochronę danych osobowych jako niezbędną inwestycję a nie zbędny koszt
4. pamiętać, że dobry Inspektor Ochrony Danych jest bezcenny. Trzeba go dobrze wynagradzać, szkolić, rozmawiać z nim i słuchać.

Zachęcam również do tworzenia kodeksów postępowania. Tylko to pozwoli w rozsądny sposób usunąć luki i wypracować dobre, skuteczne i życiowe standardy ochrony danych osobowych.

A jak samorządy radzą sobie z RODO?

Wystawiłbym im ocenę dobrą, choć jest to ocena trochę zawyżona na zachętę.