Celem zorganizowanej 26 czerwca br. konferencji było poinformowanie, jak podmioty z sektora mieszkalnictwa, takie jak spółdzielnie czy wspólnoty mieszkaniowe, powinny przetwarzać dane osobowe, stosując obowiązujące od 25 maja 2018 r. zasady określone w RODO.
Mirosław Sanek, wiceprezes Urzędu Ochrony Danych Osobowych, otwierając szkolenie podkreślił, że RODO ma służyć odbiurokratyzowaniu, a jednocześnie urealnieniu ochrony danych osobowych. – RODO nie jest dokumentem, który jest łatwy w stosowaniu. Dlatego Prezes Urzędu Ochrony Danych Osobowych organizuje szkolenia dla inspektorów ochrony danych, by im w tym – jako fachowcom – pomóc – powiedział.
Zwrócił też uwagę, że pierwszy miesiąc stosowania przepisów RODO pokazał, że podgrzewanie atmosfery wokół tej regulacji poszło w niewłaściwym kierunku. – Doszło wręcz do karykaturyzacji tych przepisów. Mamy jednak nadzieję, że inspektorzy ochrony danych osobowych, pełniąc swoje obowiązki, nadadzą im właściwy sens i zapewnią racjonalność ich stosowania w podmiotach, w których zostali wyznaczeni – powiedział.
Cel i zakres zmian w systemie prawa ochrony danych osobowych wprowadzone przepisami RODO przybliżył uczestnikom szkolenia Krzysztof Król z Zespołu Analiz i Strategii Urzędu Ochrony Danych Osobowych. Wskazał przy tym, że wielu przypadkach pomocne w ocenie danej sytuacji czy doborze odpowiednich środków ochrony danych mogą być wytyczne Grupy Roboczej Artykułu 29, która obecnie działa już jako Europejska Rada Ochrony Danych.
Monitoring tylko tam, gdzie nie sięga oko człowieka
Istotnnym elemnetem szkolenia był problem monitoringu, który bywa stosowany np. na osiedlach. – Monitoring może być stosowany, o ile jest niezbędny do realizacji określonego celu i tylko tam, gdzie nie sięga np. oko ochrony. Ponadto nie może on naruszać prywatności mieszkańców – zaznaczył, przypominając, że szczegółowe wyjaśnienia w tej sprawie są zawarte w przygotowanych przez Prezesa Urzędu Ochrony Danych Osobowych „Wskazówkach dotyczących stosowania monitoringu wizyjnego”.
Obowiązki informacyjne wobec mieszkańców
Wiele miejsca zostało poświęcone temu, jak ma wyglądać realizacja obowiązków informacyjnych w sektorze mieszkalnictwa względem osób, których dane są przetwarzane. – W treści klauzul informacyjnych nie trzeba podawać podstaw prawnych, co może komplikować przekaz i powodować, że dla wielu osób, zwłaszcza tych, które nie są prawnikami, stanie się on trudny w odbiorze lub wręcz niezrozumiały. Podstawy prawne mogą przybrać formę przypisów do klauzuli informacyjnej, co znacznie uprości i uczytelni przekaz – podpowiadała Weronika Kowalik, dyrektor Zespołu ds. Sektora Prywatnego w Urzędzie Ochrony Danych Osobowych.
Zwróciła też uwagę, że nie zawsze trzeba będzie realizować wnioski składane przez osoby, której dane są przetwarzane przez administratora. Zaznaczyła, że jeżeli ktoś już uzyskał odpowiednie informacje, ale np. co tydzień pyta się o to samo, to nie trzeba za każdym razem spełniać jego żądania.
Rejestr czynności przetwarzania
Dr Andrzej Kaczmarek, inspektor ochrony danych Urzędu Ochrony Danych Osobowych, przedstawił zagadnienia związane z dokumentacją przetwarzania danych osobowych. Wskazywał różnice między obowiązkami w tym zakresie, wynikającymi z wcześniej obowiązujących przepisów, a tymi, które nakłada RODO. Wyjaśniał, jak powinien być prowadzony rejestr czynności przetwarzania.
Podczas szkolenia zostały przedstawione również zagadnienia dotyczące wymogów w zakresie bezpieczeństwa danych osobowych, analizy ryzyka oraz oceny skutków dla ochrony danych osobowych. Michał Mazur z Zespołu Współpracy z Administratorami Danych Urzędu Ochrony Danych Osobowych podkreślał, że źródłami zagrożeń dla ochrony danych mogą być oprogramowanie w naszych komputerach, zasoby pamięci tych urządzeń i ich moc obliczeniowa.
Człowiek najsłabszym ogniwem zabezpieczeń
– Bardzo ważnym elementem zagrożeń dla ochrony danych jest człowiek. W przypadku frustracji pracownika czy przepracowania bardzo łatwo o pomyłkę, której skutkiem jest naruszenie danych – zaznaczył Michał Mazur. Dodał przy tym, że ważną rolą IOD jest to, by każdy pracownik mający dostęp do danych był odpowiednio przeszkolony i wiedział, jak powinien postępować w konkretnych sytuacjach.