- Problem bezpieczeństwa tych danych rozważaliśmy już na etapie tworzenia przepisów, czyli wtedy kiedy pojawił się pomysł tworzenia zespołów interdyscyplinarnych. Wszystkie podmioty, które w tym uczestniczą, w tym przypadku gminy i ich jednostki zdają sobie sprawę ze wszystkich obowiązków wynikających z ustawy o ochronie danych osobowych – mówi minister Wojciech Wiewiórowski. – Jednym z nich jest obowiązek zgłoszenia zbiorów do rejestracji, z którego wywiązało się jak dotąd kilkadziesiąt gmin choć jest ich 2,5 tys. , Powstaje zatem pytanie, czy po trzech i pół miesiącach obowiązywania ustawy o przemocy w rodzinie te ponad 2 400 gmin, które tego nie zrobiły to jednostki, w których nie działają te zespoły, czy też zapomniały i o zgłoszeniu i o przygotowaniu odpowiedniej dokumentacji z tym związanej. Należało zatem przypomnieć jednostkom samorządu o konieczności wypełnienia obowiązków administratora danych osobowych, którego zadaniem jest zapewnienie, bezpiecznego i zgodnego z prawem przetwarzania danych osobowych. To był główny cel wystąpienia skierowanego do MSWiA, które odpowiada za działania administracji w ramach spraw wewnętrznych i administracji. Wiceminister Siemoniak zareagował na wystąpienie GIODO natychmiast. Przekazał odpowiednie informacje wojewodom, a ci zostali zobowiązani do poinformowania wszystkich gmin na terenie danego województwa, o nowych zadaniach wynikających z ustawy.
Realizując zadania gminy z zakresu przeciwdziałania przemocy w rodzinie zespoły interdyscyplinarne zbierają i przetwarzają szeroki zakres danych osobowych, w tym danych szczególnie chronionych. Są to informacje o chorobach w tym o alkoholizmie, dolegliwościach o psychicznych, o ofiarach przemocy, wyrokach sądowych, stanie finansowym rodziny, statusie społecznym. A więc dane skrajnie wrażliwe. Dostęp do tych informacji mogą mieć również obsługujące gminy podmioty np. gminne ośrodki pomocy społecznej. To oznacza, że dostęp do tych danych mają osoby, które wykonują funkcje sekretarzy, sekretarek i obsługujące systemy informatyczne, ale także sprzątaczki. Trzeba więc określić kto ma dostęp do tych informacji i co może z nimi zrobić.
- Nie boję się o wycieki danych, ale jest 2,5 tys. administratorów, którzy na tyleż sposobów mogą rozwiązać ten problem – mówi minister Wiewiórowski. – Chciałbym uzyskać pewność, że wszyscy administratorzy są do tego przygotowani.
Zgodnie zatem z art. 37 ustawy o ochronie danych osobowych, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Na mocy z kolei art. 38 ustawy o ochronie danych osobowych administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych oraz 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (art. 39 ust. 2 ustawy o ochronie danych osobowych).