idealdata.pl
Wróć do bazy wiedzy
FAQ2024-09-056 min czytania

KRI a RODO - różnice i podobieństwa

Wyjaśniamy, jak te dwa obszary się przenikają i dlaczego zgodność z RODO nie zawsze oznacza zgodność z KRI.

Wielu administratorów mylnie utożsamia wdrożenie RODO ze spełnieniem wymogów KRI. Choć oba akty prawne mają wspólny cel — ochronę informacji i bezpieczeństwo przetwarzania danych — ich zakres, adresaci, metodyka i sankcje różnią się istotnie. Poniżej wyjaśniamy, co dokładnie odróżnia KRI od RODO, gdzie te regulacje się pokrywają i dlaczego sama zgodność z RODO nigdy nie wystarczy, by przejść kontrolę KRI.

Podstawy prawne — gdzie szukać przepisów

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Obowiązuje bezpośrednio we wszystkich państwach UE od 25 maja 2018 r. W Polsce uzupełnia je Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.).

KRI (Krajowe Ramy Interoperacyjności) to Rozporządzenie Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2024 poz. 773). Zastąpiło ono wcześniejsze rozporządzenie z 2012 r. i wprowadziło istotnie podwyższony poziom wymagań technicznych — m.in. obowiązek systematycznego zarządzania ryzykiem i corocznego audytu.

Kogo dokładnie dotyczy każda z regulacji?

RODO stosuje się do każdego podmiotu przetwarzającego dane osobowe osób fizycznych — od jednoosobowej działalności gospodarczej po międzynarodową korporację i każdy urząd. RODO nie rozróżnia sektora publicznego od prywatnego — obowiązki są podobne, choć dla podmiotów publicznych pojawiają się dodatkowe wymogi (np. obowiązek wyznaczenia IOD-y w większości przypadków).

KRI dotyczy wyłącznie podmiotów realizujących zadania publiczne: urzędów miast i gmin, starostw powiatowych, urzędów marszałkowskich, państwowych jednostek budżetowych, agencji rządowych, jednostek organizacyjnych JST (szkoły, GOPS, MOPS, ZGM), SPZOZ-ów oraz innych podmiotów wymienionych w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne. Prywatne firmy nie podlegają KRI — chyba że na podstawie umowy realizują zadanie publiczne (np. jako wykonawca usługi outsourcingu IT dla urzędu).

Co dokładnie chronią — przedmiot ochrony

RODO chroni dane osobowe osób fizycznych: imię i nazwisko, PESEL, adres, dane biometryczne, dane o stanie zdrowia, IP, identyfikatory cookie i inne pozwalające bezpośrednio lub pośrednio zidentyfikować osobę. Punkt ciężkości — prywatność jednostki.

KRI chroni wszystkie informacje przetwarzane w systemach teleinformatycznych podmiotu publicznego: dane osobowe, ale również dokumentację urzędową, akta postępowań, dane statystyczne, korespondencję, kopie zapasowe, logi systemowe. Punkt ciężkości — ciągłość działania urzędu i integralność systemów, na których ten urząd polega.

Tabela porównawcza — RODO vs KRI

Cecha RODO KRI
Akt prawnyRozporządzenie UE 2016/679Dz.U. 2024 poz. 773
Przedmiot ochronyDane osobowe osób fizycznychWszystkie informacje i systemy IT
AdresaciWszyscy przetwarzający dane osobowePodmioty realizujące zadania publiczne
Organ nadzoruPrezes UODONIK, RIO, kierownik jednostki
Audyt — częstotliwośćBrak sztywnego wymogu (zalecane okresowo)Obowiązkowy co najmniej raz w roku
Analiza ryzykaDPIA dla wysokiego ryzyka (art. 35)Ciągła analiza ryzyka SZBI
DokumentacjaRCPD, klauzule informacyjne, umowy powierzeniaPolityki SZBI, procedury, plany ciągłości, raporty z audytu
Kara maksymalna20 mln EUR lub 4% obrotuOdpowiedzialność dyscyplinarna kierownika, wystąpienie pokontrolne
Zgłaszanie incydentów72h do UODO (art. 33)Niezwłocznie do CSIRT (zgodnie z UoKSC)

Wspólne obszary — gdzie KRI i RODO się pokrywają

Choć wymagania różnią się, istnieją obszary praktycznej zbieżności. Spełnienie jednych może (częściowo) odciążyć od dublowania dokumentacji w drugich:

  • Analiza ryzyka — RODO wymaga DPIA dla operacji wysokiego ryzyka, KRI wymaga ciągłej analizy ryzyka SZBI. Wspólny rejestr ryzyk obejmujący zarówno dane osobowe, jak i pozostałe informacje, znacznie upraszcza zarządzanie.
  • Środki techniczne i organizacyjne — RODO mówi ogólnie o "odpowiednich środkach technicznych i organizacyjnych" (art. 32), KRI doprecyzowuje konkrety: szyfrowanie, MFA, backup 3-2-1, patch management, segmentacja sieci. Wdrożenie KRI z automatu spełnia większość art. 32 RODO.
  • Zarządzanie incydentami — proces wykrywania, klasyfikacji i obsługi incydentu jest niemal identyczny; różnią się tylko organy, do których trzeba zgłosić: UODO (RODO) vs CSIRT (KRI/KSC).
  • Szkolenia pracowników — zarówno RODO, jak i KRI wymagają regularnych szkoleń. Jeden program "ochrona danych + cyberbezpieczeństwo" pokrywa oba.
  • Polityka haseł i kontrola dostępu — RODO wymaga "ograniczenia dostępu", KRI nakłada konkretne wymogi (MFA dla kont uprzywilejowanych, polityka haseł, rejestrowanie logowań). Wdrożenie KRI = spełnienie RODO w tym obszarze.

Kary i odpowiedzialność — dlaczego KRI bywa groźniejsze

RODO kojarzy się z głośnymi karami — UODO regularnie nakłada grzywny w wysokości od kilkudziesięciu tysięcy do kilku milionów złotych. Jednak dla jednostek samorządu terytorialnego kary RODO są zazwyczaj symboliczne (UODO ogranicza ich wysokość ze względu na finanse publiczne, choć formalnie może nałożyć do 100 tys. zł na podmiot publiczny — art. 102 ustawy o ochronie danych osobowych).

KRI nie przewiduje grzywien administracyjnych w klasycznym znaczeniu, ale jego nieprzestrzeganie skutkuje:

  • Negatywnym wystąpieniem pokontrolnym NIK lub Regionalnej Izby Obrachunkowej, publikowanym i wpływającym na ocenę pracy urzędu;
  • Odpowiedzialnością dyscyplinarną kierownika jednostki (wójta, burmistrza, prezydenta, starosty) za niewykonanie obowiązków ustawowych;
  • Odpowiedzialnością z tytułu naruszenia dyscypliny finansów publicznych w sytuacji nieuzasadnionej rezygnacji z audytu lub środków bezpieczeństwa;
  • Utratą reputacji w razie incydentu cyberbezpieczeństwa — bez audytu KRI trudno wykazać, że jednostka "dochowała należytej staranności";
  • Potencjalną odpowiedzialnością cywilną jednostki w przypadku szkód po stronie mieszkańców (wyciek danych, niedostępność e-usług).

Czy można połączyć audyt KRI z audytem RODO?

Tak — i jest to optymalne rozwiązanie. Audyt KRI obejmuje sferę techniczną i organizacyjną bezpieczeństwa systemów, audyt RODO — sferę proceduralną ochrony danych osobowych. W praktyce nakładają się one w ok. 60-70%. Połączony audyt zwykle:

  • obniża koszt o 30-40% względem dwóch osobnych zleceń,
  • skraca obciążenie organizacyjne urzędu (jedna seria spotkań, jeden zespół auditorów),
  • daje spójny raport z rekomendacjami obejmującymi obie regulacje,
  • pozwala uniknąć sprzeczności (np. KRI rekomenduje 2-letnie przechowywanie logów, RODO ograniczenie czasu przechowywania danych osobowych — mądry plan retencji godzi oba).

W IdealData realizujemy połączone audyty KRI + RODO dla JST z Pomorskiego i całej Polski — szczegóły w naszej ofercie.

FAQ — najczęstsze pytania

Czy spełniam wymogi KRI, jeśli mam wdrożone RODO?

Nie. RODO i KRI to różne regulacje o częściowo nakładających się wymaganiach. Możesz mieć perfekcyjną dokumentację RODO (RCPD, klauzule, umowy powierzenia) i jednocześnie nie spełniać KRI (np. brak MFA, brak backupu 3-2-1, brak audytu rocznego). Wdrożenie KRI z automatu pokrywa większość wymogów technicznych art. 32 RODO, ale nie odwrotnie.

Czy IOD-a może przeprowadzić audyt KRI?

Audyt KRI wymaga kompetencji technicznych z zakresu bezpieczeństwa systemów teleinformatycznych — IOD-a (Inspektor Ochrony Danych) zwykle nie ma takich kwalifikacji w wymaganym zakresie. Audyt KRI powinien wykonać niezależny audytor cyberbezpieczeństwa z certyfikatami branżowymi (CISA, CISSP, ISO 27001 Lead Auditor) lub zespół auditorski. IOD-a może natomiast uczestniczyć w audycie jako interesariusz po stronie podmiotu kontrolowanego.

Jak często trzeba przeprowadzać audyt KRI?

Zgodnie z Rozporządzeniem KRI 2024 (Dz.U. 2024 poz. 773), audyt KRI należy przeprowadzać co najmniej raz w roku, a także po każdej istotnej zmianie w infrastrukturze teleinformatycznej (wymiana systemu, migracja do chmury, fuzja jednostek). Audyt RODO nie ma sztywnej częstotliwości, ale dobrą praktyką jest również coroczna weryfikacja.

Kto odpowiada za brak audytu KRI w urzędzie?

Odpowiedzialność za zapewnienie zgodności z KRI spoczywa na kierowniku jednostki (wójt, burmistrz, prezydent miasta, starosta, dyrektor szkoły, dyrektor SPZOZ). Może on przenieść odpowiedzialność operacyjną na podległą strukturę (informatyk, ASI, kierownik wydziału IT), ale ostateczna odpowiedzialność ustawowa pozostaje przy kierowniku.

Czy KRI dotyczy szkół podstawowych i przedszkoli?

Tak. Szkoły i przedszkola publiczne są jednostkami organizacyjnymi JST, realizującymi zadania publiczne — w pełni podlegają KRI. W praktyce audyt KRI dla małej szkoły jest mniej rozbudowany niż dla urzędu marszałkowskiego, ale formalnie obowiązek istnieje. Wiele szkół realizuje go w ramach skonsolidowanego audytu na poziomie całej gminy.

Co dalej?

Jeśli prowadzisz JST lub odpowiadasz za zgodność w podmiocie publicznym, sprawdź:

Porównanie wymogów RODO i KRI — waga, dokumenty, infrastruktura IT
Udostępnij:

Powiązane artykuły

Prawo2024-06-15

Rozporządzenie KRI 2024 - najważniejsze zmiany

Analiza nowego rozporządzenia Rady Ministrów z 21 maja 2024 r. Zobacz, co zmieniło się w wymaganiach dla systemów teleinformatycznych.

Czytaj dalej
Bezpieczeństwo2024-07-02

Najczęstsze podatności w urzędach – analiza zagrożeń i dobre praktyki

Kompleksowa analiza typowych luk bezpieczeństwa w administracji publicznej, od słabych haseł po błędy w konfiguracji sieci, wraz z praktycznymi rekomendacjami naprawczymi.

Czytaj dalej

Szanujemy Twoją prywatność

Używamy plików cookies, aby zapewnić Ci najlepszą jakość korzystania z naszej strony, analizować ruch i dostosowywać treści. Możesz dowiedzieć się więcej w naszej Polityce Prywatności.