Wstęp WSTĘP Od momentu wejścia w życie przepisów o ochronie danych osobowych, tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawy z 10 maja 2018 r. o ochronie danych osobowych minął już rok. Czas pokazał, jak w praktyce podmioty wypracowały zasady stosowania tychże przepisów. Jednak to nie koniec zmian. Od 4 maja 2019 r. zaczęły obowiązywać regulacje zawarte w ustawie z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. ustawy wdrażającej RODO. Ten akt prawny wprowadził zmiany w ponad 160 ustawach, w tym m.in. w zakresie przetwarzania danych pracowniczych, monitoringu wizyjnego, obowiązku informacyjnego dla podmiotów publicznych. To wszystko sprawiło, że zaistniała potrzeba zebrania w jednym miejscu wszystkich informacji, jakie są niezbędne dla administratorów danych osobowych i inspektorów ochrony danych z uwzględnieniem specyfiki funkcjonowania podmiotów publicznych. Książka Vademecum ochrony danych osobowych w sektorze publicznym. Najnowsze zmiany w prawie i wzory dokumentów to kompendium wiedzy na temat zasad przetwarzania danych osobowych przez jednostki publiczne. Publikacja zawiera wskazówki, wyjaśnienia, interpretacje przepisów oraz najnowsze zmiany w prawie dotyczące m.in.: 7 UOR 75.indd 7 10.05.2019 11:47
Vademecum ochrony danych osobowych w sektorze publicznym z ustawy wdrażającej RODO, z dyrektywy policyjnej czy też z projektu rozporządzenia w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych. Dodatkowo w książce zamieszczono praktyczne wzory dokumentów, które pomogą podmiotom publicznym sprawnie wdrożyć i stosować nowe przepisy RODO. 8 UOR 75.indd 8 10.05.2019 11:47
Rozdział 1. Podstawy przetwarzania danych dla jednostek ROZDZIAŁ 1. PODSTAWY PRZETWARZANIA DANYCH DLA JEDNOSTEK SAMORZĄDU TERYTORIALNEGO Jednostka samorządu terytorialnego w zakresie swojej aktywności będzie często występować w charakterze administratora danych osobowych czy procesora. W ramach działalności statutowej konieczne jest bowiem przetwarzanie danych osobowych, w tym mieszkańców, kontrahentów czy podatników. W tym rozdziale wskażemy wybrane, podstawowe i charakterystyczne dla JST zagadnienia związane z tego rodzaju przetwarzaniem danych osobowych. 1.1. Dane osobowe, których może żądać JST Przepisy bardzo często nie wskazują jednoznacznie, jakimi dokumentami podmiot danych ma się posłużyć, aby na przykład uzasadnić treść wniosku czy pisma składanego do jednostki samorządu terytorialnego. Tymczasem znaczna część takich dokumentów będzie zawierała nie tylko dane osobowe (jak sytuacja finansowa, wysokość dochodów czy informacje o własności nieruchomości), ale na dodatek dane wrażliwe (np. choroby wnioskodawcy lub członków rodziny). To oznacza konieczność pilnowania przez JST tego, aby żądane przez nią informacje były faktycznie niezbędne do wykonania ciążącego na JST obowiązku prawnego. Podstawową formą zbierania takich danych jest złożenie oświadczenia przez osobę wnioskującą o przyznanie świadczenia, wydanie decyzji czy załatwienie jakiejkolwiek innej sprawy w gminie. Dobrą praktyką jest udostępnianie przez jednostkę formularza (wzoru) takiego oświadczenia, co pozwoli danemu podmiotowi: 9 UOR 75.indd 9 10.05.2019 11:47
Vademecum ochrony danych osobowych w sektorze publicznym z zdecydować raz a porządnie, jakiego rodzaju dane osobowe są mu potrzebne (czyli żądać jedynie danych niezbędnych do osiągnięcia celu wynikającego z przepisu prawa); z uniknąć ryzyka nadmiernego przetwarzania danych osobowych tj. przetwarzania większej ilości danych, niż jest to potrzebne; z zastosować te same wymogi względem wszystkich interesantów; z pozyskać dane osobowe w jednolitej i takiej samej dla wszystkich interesantów formie (np. pisemnej lub elektronicznej) to zaś ułatwi ich przetwarzanie i umożliwi zastosowanie jednakowych środków zabezpieczających dane. 1.2. Pojęcie administratora danych osobowych Zgodnie z RODO administrator danych osobowych (ADO) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Oznacza to, że nie zawsze JST będzie administratorem danych osobowych. Ustalenie, kim jest ADO, to pierwszy i podstawowy krok przy rozwiązywaniu większości problemów z przetwarzaniem danych. A zatem administratorem może być oprócz JST także: z szkoła, z miejski ośrodek pomocy społecznej czy z straż miejska. W innych przypadkach wydaje się, że administratorem jest ktoś inny, a tak naprawdę będzie nim gmina na przykład w przypadku zakładowego funduszu świadczeń socjalnych administratorem danych osobowych jest pracodawca. Nie ma możliwości przyjęcia innego rozwiązania w regulaminie ZFŚS. 10 UOR 75.indd 10 10.05.2019 11:47
Rozdział 1. Podstawy przetwarzania danych dla jednostek 1.3. Przekazywanie danych osobowych innym podmiotom na dwa sposoby Jednostki publiczne mogą przekazywać dane osobowe podmiotów danych (np. swoich pracowników czy mieszkańców) innym podmiotom (np. wykonawcom czy kancelarii prawnej zajmującej się windykacją). Mogą to czynić po pierwsze w ramach umowy powierzenia przetwarzania danych osobowych. Ta sytuacja będzie miała miejsce, gdy procesor (podmiot przetwarzający) będzie przetwarzał dane w celach administratora danych (JST). Na przykład gdy JST zawrze umowę serwisową z firmą IT konserwującą sprzęt komputerowy tej jednostki, na którym są także przetwarzane dane osobowe osób trzecich (podmiotów danych). Konieczne będzie zawarcie z tą firmą IT umowy powierzenia, na mocy której firma (procesor) będzie uprawniona do przetwarzania danych tych osób, ale tylko w celu wykonywania tej umowy serwisowej. Przykładowo dzięki temu firma IT będzie mogła przy wymianie dysku twardego komputera w sekretariacie, na którym znajdują się dane świadczeniobiorców, skopiować te dane na nowy dysk. Drugim trybem przekazania danych przez JST podmiotowi trzeciemu będzie udostępnienie danych osobowych. Dane osób trzecich mogą zostać przekazane tym podmiotom (np. Zakładowi Ubezpieczeń Społecznych, urzędowi skarbowemu czy policji), jeżeli organy te będą uprawnione do żądania tych danych na podstawie przepisów prawa (np. Ordynacji podatkowej w związku z toczącym się postępowaniem czy Kodeksu postępowania karnego). Wówczas nie jest konieczne zawieranie umowy powierzenia przetwarzania danych osobowych. 11 UOR 75.indd 11 10.05.2019 11:47