Od 25 maja działa unijne rozporządzenie o ochronie danych osobowych RODO. Nadal trwają prace nad ustawą wdrażającą zapisy dyrektywy policyjnej, regulującej przetwarzanie danych w sektorze bezpieczeństwa.

Każdy organ i podmiot publiczny - wymieniony w art. 9 ustawy o finansach publicznych - musi mieć swojego, lub w rozsądny sposób współdzielonego z innymi organizacjami, inspektora.

Mogą powstać tzw. Zespoły Inspektora Ochrony Danych, wspierające merytorycznie i pomagające wyznaczonemu inspektorowi. Ma to szczególne znaczenie w przypadku współdzielenia osoby inspektora między organizacjami. W takim przypadku zalecanym jest umocowanie w każdym podmiocie jednej osoby dedykowanej do współpracy z inspektorem.

Jak nam mówił w wywiadzie Maciej Kołodziej, ekspert ds. ochrony danych osobowych, wiceprezes SABI - Stowarzyszenia Inspektorów Ochrony Danych, administrator może szukać inspektora wśród swoich pracowników lub sięgnąć po osoby spoza organizacji.

- Często trzeba szukać rozwiązań kompromisowych, optymalnych, niekoniecznie najlepszych, ponieważ wiele jednostek publicznych nie miało szansy zabezpieczenia swojej przyszłości, także finansowo, podczas gdy były uchwalane budżety na rok 2018 - podkreślił.
Czytaj więcej: Urzędnikom nie wolno pozyskiwać danych wedle własnego uznania

Przeszkolić urzędników

Zdaniem eksperta urzędników, pracowników i współpracowników odpowiednio przeszkolić i poinformować, z jakimi danymi się spotykają i jak należy je przetwarzać.

Należy też zwrócić uwagę, że jedną z przesłanek przetwarzania danych wynikającą z RODO jest przepis prawa, który zobowiązuje i wskazuje na konieczność przetwarzania danych. RODO wskazuje na konieczność powołania konkretnego obowiązku prawnego, a nie jedynie dopuszczalności przetwarzania, która często wynika z obecnych przepisów.
 
Urzędnicy muszą mieć świadomość, że w tym zakresie nie ma dowolności. Nie wolno im pozyskiwać danych wedle własnego uznania, muszą wskazać konkretną podstawę prawną dla każdej procedury związanej z przetwarzaniem, a w szczególności z pozyskiwaniem i przekazywaniem danych osobowych. W jednostkach administracji publicznej nie znajduje, co do zasady, zastosowania zgoda na przetwarzanie danych osobowych, ani prawnie uzasadniony interes realizowany przez administratora, które przewidziano w art. 6.1.a/f RODO.



Warto podkreślić, że w przypadku wystąpienia nieprawidłowości i ukaraniu podmiotu publicznego za niezgodne z RODO przetwarzanie danych każda nałożona kara może być dodatkowo traktowana jako naruszenie obowiązków służbowych urzędnika i dyscypliny budżetowej, co może wprowadzać kolejne elementy odpowiedzialności i ich konsekwencje na osoby, które przyczyniły się do niewłaściwego postępowania z danymi osobowymi w organizacji.

Odpowie wójt

Jak podkreśla ekspert, w samorządzie za reprezentację odpowiada wójt, burmistrz, prezydent, starosta, marszałek. Kadra zarządzająca, inspektor i pracownicy odpowiadają za ochronę danych w zależności od swoich obowiązków i pełnomocnictw. Administrator jest na początku tej grupy i ją reprezentuje.

Gmina może mieć monitoring

Zgodnie z ustawą o ochronie danych osobowych gmina może mieć monitoring dla zapewnienia porządku publicznego i bezpieczeństwa. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej, chyba, że stosowanie monitoringu w tych pomieszczeniach jest niezbędne. Ponadto generalnie nagrania będzie można przechowywać nie dłużej niż 3 miesiące od dnia nagrania. Potem powinny zostać zniszczone.

Sekretarz gminy nie IOD

Nie jest powiedziane jednoznacznie, że informatyk i IOD nie mogą być tą samą osobą. Natomiast sekretarz nie powinien pełnić tej funkcji. W przypadku informatyka, należy określić, czy ta osoba podejmuje jakiekolwiek decyzje dot. celów i środków przetwarzania danych w swojej pracy. Jest to jednak indywidualna decyzja.

Dla bezpieczeństwa, zaleca się przeprowadzenie poniższego postępowania:
- wypisujemy w urzędzie stanowiska, które nie wiążą się z wypełnianiem roli IOD,
 określamy procedury wewnętrzne zarówno w zakresie powoływania IOD, jak i kategorii działań, jakie może/nie może on realizować, by uniknąć konfliktu interesów,
- jeśli uznajemy, że można połączyć funkcje, należy dobrze rozważyć złożenie deklaracji przez przyszłego IOD, że nie ma konfliktu interesów między jego funkcją a innymi zadaniami, zarówno w celu realizacji zasady rozliczalności oraz na wypadek kontroli.
Czytaj więcej

Centrum Usług Wspólnych

Należy znowelizować uchwały zawiązujące CUW, albo zawrzeć nowe porozumienia – radzi dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p., zajmująca się problematyką ochrony danych osobowych.

Ekspertka tłumaczy, że Centrum Usług Wspólnych nie staje się administratorem danych. Jako przykład wskazuje CUW-y oświatowe, gdzie przez fakt dokonywania rozliczeń np. dotyczących wynagrodzeń nauczycieli, administratorem takich danych nie staje się centrum, ale nadal pozostaje nim szkoła.

Problemy te powinien rozwiązać podmiot, który kreuje Centrum Usług Wspólnych. Ekspertka radzi też, że w porozumieniu pomiędzy podmiotami zlecającymi a podmiotem realizującym powinny być określone sposoby udokumentowania wzajemnych relacji i okoliczności istotnych z punktu widzenia przetwarzania danych osobowych.

Czytaj więcej

Jeden IOD na kilka jednostek

Można wyznaczyć jednego IOD na kilka jednostek samorządowych - mówi ekspertka. Podkreśla, że środki na wdrożenie RODO zapewnić trzeba nie tylko w starostwach czy urzędach gmin, ale także szkołach, przedszkolach, ośrodkach kultury, OPS czy zarządach dróg.

Trudność organizacyjną może sprawiać rozstrzygnięcie, jaki będzie model zaangażowania takiej osoby – czy będzie zatrudniona w jednostce, czy będzie wykonywać zadania w ramach usługi z zewnątrz.

Zdaniem prawniczki RODO pokazuje, że samorządy powinny myśleć o ochronie danych w procesach – od momentu zbierania danych, poprzez ich wykorzystywanie w założonym celu i przechowywanie do momentu decyzji, czy zgodnie z przepisami archiwizujemy dane, czy je usuwamy.

Czytaj więcej TUTAJ