Przetwarzanie danych osobowych w urzędach 1
Administrator danych (np. jednostka sektora publicznego) może przetwarzać dane osobowe m.in. w sytuacji gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, bądź jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu (art. 23 ust. 1 ustawy o ochronie danych osobowych). Wystarczy, jeśli zostanie spełniona jedna z przesłanek wskazanych w ustawie. Podmioty administracji publicznej powinny mieć podstawę prawną do przetwarzania danych. W rzeczywistości jednak spotkamy się z przypadkami przetwarzania danych na podstawie każdej z poniższych przesłanek. Zgoda osoby W podmiotach administracji publicznej powinniśmy unikać jej stosowania. Pamiętajmy, że zgoda może zostać w każdym momencie cofnięta. Błędem będzie zbieranie zgody mimo posiadania innej przesłanki. Nie możemy mówić wówczas o dołożeniu szczególnej staranności. Możemy mówić wręcz o wprowadzaniu osoby w błąd, gdy mówimy, że może ona wyrazić dobrowolną zgodę, podczas gdy podanie danych wynika z przepisów i jest obowiązkowe. Zgoda zawsze musi być dobrowolna. Istnieją jednak szczególne przypadki, gdy również w administracji publicznej będziemy prosić o zgodę na przetwarzanie danych. Dotyczy to sytuacji, w których ustawodawca nie przewidział innej ścieżki postępowania. Przykładowo, gdy klient ośrodka pomocy społecznej prosi o interwencję radnego. Ośrodek nie ma żadnej podstawy do udostępnienia danych klienta radnemu i w takiej sytuacji, klient może wyrazić zgodę na udostępnienie danych (pamiętajmy, że udostępnienie jest jedną z form przetwarzania danych). Jeżeli zgoda będzie dotyczyła danych wrażliwych, to - zgodnie z art. 27 ust. 2 pkt 1 - musi być wyrażona na piśmie. Możemy prosić o zgodę na przetwarzanie danych kandydatów do pracy (w trakcie prowadzonego naboru, jedynie w zakresie danych podanych przez kandydata z własnej inicjatywy i wykraczających poza dane, których podania możemy żądać na podstawie przepisów prawa, w tym art. 221 Kodeksu pracy). WAŻNE Jeżeli ustawodawca określił zakres danych, do przetwarzania których urząd ma prawo, niedopuszczalne będzie proszenie osoby o zgodę na rozszerzenie tego zakresu. Przetwarzanie danych osobowych w urzędach 2
Realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu Większość danych przetwarzanych przez podmioty administracji publicznej jest przetwarzanych na podstawie tej przesłanki. Przepisy, z których wynika obowiązek przetwarzania danych, powinny mieć rangę ustawy. Dopuszczalne będzie jednak przetwarzanie danych, zgodnie z aktami niższej rangi, wydanymi na podstawie delegacji ustawowej. PRZYKŁAD Przykładem mogą być dane przetwarzane zgodnie z regulaminem Zakładowego Funduszu Świadczeń Socjalnych. Zgodnie z ustawą, regulamin ten jest tworzony przez pracodawcę. Nie oznacza to jednak, że koniecznością zapewnienia zgodności z regulaminem można uzasadnić przetwarzanie dowolnych danych. Istotne będzie tu kryterium niezbędności. W przypadku danych wrażliwych musi istnieć przepis szczególny innej ustawy, pozwalający na przetwarzanie tych danych. W przeciwieństwie do danych zwykłych, gdy możemy przetwarzać wszystkie dane niezbędne dla realizacji celu, ustawa powinna wskazywać, które dane wolno nam przetwarzać (chociaż znane inne przypadki, np. przetwarzanie danych wrażliwych przez kuratorów sądowych). Realizacja lub zawarcie umowy Dane możemy przetwarzać również w celu realizacji lub zawarcia umowy. W praktyce częste są sytuacje, gdy dane możemy przetwarzać na podstawie kilku przesłanek. Przykładowo, gdy ustawa mówi o zawarciu porozumienia z obywatelem, administrator danych musi rozstrzygnąć, czy dane przetwarza w celu realizacji umowy, czy spełnienia obowiązku wynikającego z przepisu. Każdy z przypadków należy rozstrzygnąć indywidualnie. Wskazówką może być jednak zakres przetwarzanych danych. Określone prawem, zadana realizowane dla dobra publicznego Dane osoby możemy przetwarzać również dla dobra publicznego (np. w przypadku klęsk żywiołowych). Przesłanka ta bywa błędnie stosowana, przy przetwarzaniu danych dla dobra konkretnej osoby, a nie dobra publicznego. Dodatkowo zadania te muszą być określone prawem, a przetwarzanie danych musi być niezbędne dla ich zrealizowania. Prawnie usprawiedliwionych cele realizowane przez administratorów albo odbiorców danych Przetwarzanie danych na podstawie tej przesłanki wymaga spełnienia kilku warunków: realizowane cele muszą być prawnie usprawiedliwione, a przetwarzanie danych musi być dla ich realizacji niezbędne, oraz nie może naruszać praw i wolności osoby, której dane dotyczą. Przetwarzanie danych osobowych w urzędach 3
PRZYKŁAD Przykładem przetwarzania danych na podstawie tej przesłankę będzie książka wejść-wyjść. Prawnie usprawiedliwionym celem administratora będzie w tym wypadku zapewnienie bezpieczeństwa w obiekcie. Dane osobowe a realizacja projektu unijnego Ustawa o ochronie danych osobowych dość ogólnie reguluje zasady przetwarzania danych, dając pierwszeństwo przepisom szczegółowym wynikającym z konkretnych ustaw. Dlatego przetwarzanie danych w celu realizacji projektów unijnych najczęściej odbywa się na podstawie zgody osób biorących w nim udział. Zapisy w regulaminie Gromadzenie danych na potrzeby realizacji projektu różni się od ich udostępniania, powierzania, czy publikowania. Oznacza to, że w regulaminie i umowie projektu powinno być określone, kto jest administratorem danych, procesorem (podwykonawcą), czy i komu dane będą przekazane, jakie dane są zbierane i w jakim celu. Należy tutaj podkreślić rolę administratora danych, bo to on decyduje o celach i środkach przetwarzania danych osobowych i podpisuje umowy powierzenia przetwarzania danych z ewentualnymi podwykonawcami. Umowa powierzenia Powierzenie to swego rodzaju pożyczenie danych. W tym procesie administrator nadal odpowiada za dane, decyduje, w jakim zakresie i w jakim celu można je powierzyć do dalszego przetwarzania innym podmiotom. Po zakończeniu trwania umowy dane mają w całości wrócić do administratora. WAŻNE Podwykonawcy przetwarzają powierzone dane jedynie w celach i zakresie określonym przez administratora danych. Nie mogą wykorzystać ich do własnych celów, nie stają się ich właścicielem. Umowa powierzenia powinna regulować cel powierzenia, zakres: danych, czynności wykonywanych z danymi, odpowiedzialność, możliwość kontroli, sposób postepowania z danymi po wygaśnięciu umowy. Dane osobowe jako informacja publiczna Do organów państwowych i samorządowych często wpływają wnioski o udostępnienie danych kierowane na podstawie ustawy o dostępie do informacji publicznej. Jeśli do urzędu o udostępnienie danych osobowych zwróci się np. firma marketingowa, czy osoba wnioskująca o dostęp do informacji publicznej, musi wskazać cel, zakres danych, o które prosi i podstawę prawną, która może usprawiedliwić przekazanie danych. Administrator danych, za pomocą osób do tego upoważnionych, decyduje wtedy, czy można i należy w danym celu i w jakim zakresie udostępnić dane. Jeśli już zostanie podjęta decyzja o udostępnieniu danych, należy na tę okoliczność prowadzić ewidencję Przetwarzanie danych osobowych w urzędach 4
udostępnionych danych. Musi być wiadomo kto, komu, jakie dane, na jakiej podstawie i w jakim celu udostępnił. WAŻNE Informacją publiczną nie jest pełny, prywatny adres zamieszkania. Jest już natomiast nią informacja o tym, kto (imię i nazwisko), za co i ile otrzymał pieniędzy publicznych. PODSTAWA PRAWNA ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r., poz. 1182 ze zm.), ustawa z 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn.: Dz.U. z 2014 r., poz. 782 ze zm.). WZÓR Wzór zgody na przetwarzanie danych osobowych uczestnika projektu unijnego Wyrażam zgodę (nazwa podmiotu ) na przetwarzanie moich danych osobowych w zakresie imienia, nazwiska, adresu zamieszkania i adresu poczty elektronicznej w celach związanych z organizacją i realizacją projektu unijnego (nazwa projektu ). Podpis osoby wyrażającej zgodę Przetwarzanie danych osobowych w urzędach 5
Autorzy: Jarosław Żabówka wieloletni administrator bezpieczeństwa informacji, audytor normy ISO 27001 i menedżer IT; wykładowca w wyższej szkole biznesu w dąbrowie górniczej i właściciel firmy Proinfosec Piotr Glen administrator bezpieczeństwa informacji, audytor systemów zarządzania bezpieczeństwem informacji Redaktor: Anna Rubinkowska Przetwarzanie danych osobowych w urzędach 6
Przetwarzanie danych osobowych w urzędach 7
Redaktor: Anna Rubinkowska ISBN: 978-83-269-4483-3 E-book nr: 2HH0397 Wydawnictwo: Adres: Kontakt: Wydawnictwo Wiedza i Praktyka sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl NIP: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł Copyright by: Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Przetwarzanie danych osobowych w urzędach 8