Odpowiedź
Organy administracji publicznej podlegają przepisom RODO, jeżeli przetwarzają dane osobowe dotyczące osób fizycznych. Obowiązkiem administracji krajowej jest wspieranie organów administracji regionalnej i lokalnej w odpowiednim przygotowaniu do stosowania przepisów RODO.
Przetwarzanie większości danych osobowych posiadanych przez organy administracji publicznej zwykle wynika z obowiązku prawnego i odbywa się w takim zakresie, jaki jest niezbędny do wykonania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej im powierzonej.
Podczas przetwarzania danych osobowych organ administracji publicznej musi przestrzegać podstawowych zasad, takich jak:
- zgodne z prawem i rzetelne przetwarzanie,
- ograniczenie celu,
- minimalizacja danych i zatrzymywanie danych.
W przypadku przetwarzania na podstawie przepisów prawa prawo to powinno także zapewniać, aby przestrzegane były powyższe zasady (np. rodzaj danych, okres przechowywania danych, odpowiednie zabezpieczenia).
Przed rozpoczęciem przetwarzania danych należy poinformować osobę fizyczną o przetwarzaniu, w tym o jego celach, rodzajach zbieranych danych, odbiorcach oraz jej prawach dotyczących ochrony danych.
Organ administracji publicznej jest zobowiązany do wyznaczenia inspektora ochrony danych (IOD), z tym że istnieje możliwość powołania jednego inspektora ochrony danych dla kilku organów publicznych, a zatem wspólnego korzystania z jego pracy, lub też zlecenia tych usług zewnętrznemu IOD. Musi też zagwarantować stosowanie odpowiednich środków technicznych i organizacyjnych, aby zabezpieczyć dane osobowe. Jeżeli organ zleca część operacji przetwarzania zewnętrznej organizacji (tzw. podmiotowi przetwarzającemu), musi istnieć umowa lub inny akt prawny zapewniający, by podmiot przetwarzający dawał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych odpowiadających wymogom RODO. W przypadku gdy posiadane dane osobowe zostaną przypadkowo lub niezgodnie z prawem ujawnione nieuprawnionym odbiorcom lub będą czasowo niedostępne bądź zostaną zmodyfikowane, należy zgłosić naruszenie do organu ochrony danych bez zbędnej zwłoki, a najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia. Organ administracji publicznej może być także zobowiązany do poinformowania o naruszeniu osób, których dane dotyczą.
Więcej informacji na temat obowiązków organów administracji publicznej wynikających z RODO znajduje się w sekcji dotyczącej przedsiębiorstw i organizacji.