Czy wdrożenie RODO w podmiocie publicznym wystarczy?

Co mają ze sobą wspólnego KRI i RODO? 

Odpowiedź na to pytanie można odnaleźć w raporcie opublikowanym przez Najwyższą Izbę Kontroli w maju 2019 roku – „Zarządzanie bezpieczeństwem informacji w jednostkach samorządu terytorialnego, Od 1 czerwca 2017 r. do dnia zakończenia kontroli 2018 r.”

Działaniami kontrolnymi zostały objęte podmioty administracji publicznej w zakresie zabezpieczeń systemów informatycznych. Wyznaczenie niniejszego obszaru wynikało z dwóch czynników:

  • stale wzrastającego zainteresowania załatwianiem spraw w urzędach w postaci elektronicznej,
  • wejścia w życie przepisów Rozporządzenia KRI (ochrona bezpieczeństwa informacji) oraz RODO (ochrony danych osobowych).

NIK w swoim raporcie zwraca również uwagę na fakt, iż KRI wraz z RODO mają w wielu aspektach wspólny zakres ochrony, głównie bezpieczeństwo informacji. Ciekawość może również wzbudzić spostrzeżenie z raportu, iż to wejście w życie RODO miało większy wpływ na intensywność działań urzędów niż Rozporządzenie KRI. Co o tym zadecydowało? Z pewnością możliwe sankcje karne wynikające z przepisów ogólnego rozporządzenia o ochronie danych osobowych jak i zainteresowanie społeczne.

Pełna treść dokumentu jest dostępna pod poniższym linkiem:

https://www.nik.gov.pl/kontrole/P/18/006/

Lektura raportu prowadzi do następujących wniosków:

System bezpieczeństwa ochrony informacji musi opierać się o stale prowadzone działania takie jak: szacowanie ryzyka, audyty bezpieczeństwa, szkolenia, testy procedur.

Stałego nadzoru wymaga zarządzanie uprawnieniami pracowników – nadawania, zmieniania i usuwania, ponieważ czynnik ludzki jest istotnym elementem uszczelniania systemu bezpieczeństwa.

Decydenci w urzędach powinni koncertować się na działaniach prewencyjnych, tak by w przypadku poważnych incydentów, móc zareagować adekwatnie.