Rejestry mieszkańców, monitoring wizyjny, zasoby BIP - Urząd Ochrony Danych Osobowych skontrolował, jak z ochroną danych w tych trzech sektorach radzą sobie JST.
Rejestry mieszkańców, monitoring wizyjny, zasoby BIP oraz stron internetowych urzędów - rok po wejściu w życie RODO Urząd Ochrony Danych Osobowych skontrolował jak z ochroną danych w tych trzech sektorach radzą sobie JST. Ocena jest pozytywna, ale widać też problemy - ocenił w Sejmie wiceprezes UODO Mirosław Sanek.
"Kontrole uwidoczniły bardzo wiele dobrych praktyk, ale też pokazały jak wiele pracy jest jeszcze przed organami samorządu terytorialnego" - powiedziała PAP dyrektor Zespołu ds. Sektora Publicznegow UODO Monika Krasińska.
Rejestry mieszkańców
W kwestii rejestrów mieszkańców "lekcja w znacznej mierze została odrobiona, choć stwierdzone zostały nieprawidłowości" - oceniła Krasińska. Stwierdzono np., że nie zawsze jest w pełni dokumentowana czynność udostępniania danych osobowych z rejestru, nie zawsze są też zawierane umowy powierzenia gdy określone systemy są obsługiwane przez podmioty zewnętrzne, a klauzule informacyjne nie zawsze dostosowane były do wymogów prawa.
"Lecz w międzyczasie i same przepisy prawa uległy zmianie" - zauważyła Krasińska. "Gminy - co jest pewnym novum w odniesieniu do tego, co miało miejsce jeszcze kilka tygodni temu - stały się de facto administratorem danych osobowych w związku z udostępnianiem danych z rejestru PESEL" - wskazała ekspert UODO.
Monitoring miejski
"Tutaj najbardziej istotnym uchybieniem był brak dokonania oceny skutków dla ochrony danych osobowych" - zauważyła Krasińska. Przypomniała, że taka ocena jest konieczna w przypadku systemowego przetwarzania znacznej ilości danych osobowych i stosowania nowych technologii. W ocenie UODO, w przypadku monitoringu miejskiego nie zawsze właściwie spełniane były też obowiązki informacyjne np. o zasadach prowadzenia monitoringu. "Brak tej informacji powoduje, iż wzrasta liczba skarg kierowanych na sektor samorządu terytorialnego w tym zakresie" - powiedziała Krasińska.
Dodała, że istotne zmiany w obszarze monitoringu miejskiego zaszły 6 lutego, kiedy to straże gminne uzyskały status "zupełnie odrębnego administratora danych osobowych". "Próba umiejscowienia straży gminnych wraz z ich zadaniami w strukturze zarządzania danymi osobowymi musi być podjęta jak najszybciej" - mówiła Krasińska.
Zasoby BIP i strony urzędów
"Mamy podstawy wysnuć wnioski związane z niewłaściwym zarządzaniem danymi osobowymi i ochroną danych osobowych zawartych w Biuletynie Informacji Publicznej. Niestety Biuletyny to przestrzenie, które nie były inwentaryzowane przez wiele ubiegłych lat pod kątem zawartości, jakości, retencji i usuwania danych osobowych" - mówiła Krasińska.
W ocenie UODO, sytuacja w tym obszarze zaskoczyła wszystkich samorządowców, bo przepisy nie zawierają wytycznych wobec okresu przechowywania danych w BIP-ach. W związku z tym przez wiele lat uznawano, że informacja raz tam przekazana może trwać wieczyście, a nie jest to zgodne z przepisami o ochronie danych osobowych.
Kontrole pokazały np., że często dane osobowe były przekazywane do BIP w nadmiernym zakresie, często nie było właściwego procesu anonimizacji danych, nie było też żadnych procedur usuwania informacji, co skutkowało informacją wybiórczą. Np. pojawiała się w BIP informacja o ukaraniu funkcjonariusza publicznego, ale nie było już jej aktualizacji i informacji o tym, że następnie został on przywrócony do pracy, co rzutowało na sytuację prawną i życiową danej osoby.
Podsumowując, Krasińska oceniła, że RODO nie wprowadziło istotnej rewolucji związanej z ochroną danych osobowych w samorządach terytorialnych. "Samorządy były przygotowane do wielu rozwiązań, choć rzeczywiście obserwujemy bardzo tez wile nieprawidłowości, które wciąż mają miejsce" - powiedziała.
"Samorządy dokonują sukcesywnych zmian w procedurach bezpieczeństwa. Poprzez powołanych IODO niewątpliwie ten poziom wiedzy wzrasta. Odrębną kwestią pozostaje edukacja osób zatrudnionych w samorządach - tutaj wiele jest jeszcze do zrobienia" - dodała.
RODO, a śmieci
Kolejne kontrole UODO dotyczące przestrzegania RODO w JST dotyczyć będą m.in. stosowania przez gminy nowych technologii przy gospodarowaniu odpadami. "Obszarem naszego zainteresowania w ciągu najbliższego półrocza objęte są gminy, które stosują przepisy tzw. ustawy śmieciowej. Będziemy analizowali w jaki sposób gospodarowanie odpadami następuje i w jaki sposób stosowane technologie mają wpływ na ochronę danych osobowych mieszkańców" - powiedziała PAP Krasińska.
Chodzi np. o technologię informatyczną do zarządzania odpadami - RFID, znakowanie wysypisk, monitoring związany z wywozem śmieci. "Jesteśmy bardzo ciekawi jak te rozwiązania zostały przetestowane pod kątem ich zgodności z prawodawstwem dotyczącym ochrony prywatności" - mówi Krasińska.
Inspektor z łapanki
Duża część dyskusji w trakcie konferencji poświęcona była roli Inspektora danych Osobowych w JST.
Monika Krasińska dyrektor zespołu ds. Sektora Publicznego w UODO mówiła, że praktyce wygląda ona "bardzo różnie" i bywa, że inspektor bywa traktowany - szczególnie w małych gminach o ograniczonym budżecie - jako "przeszkoda dla realizacji zadań, które muszą być zrealizowane". "Nie wszystkie samorządy właściwie umocowują IODO, nie zawsze on jest powoływany w sytuacjach nie tworzących pewnego konfliktu interesu i tutaj rzeczywiście samorządy muszą się bardzo głęboko zastanowić kto ma być powołany do pełnienia tej funkcji" - mówiła Krasińska.
Dodała, że "wielu inspektorów danych osobowych nie jest wysłuchiwanych". Tymczasem - jak zwracała uwagę - potęguje się zjawisko zgłaszania do sądów wniosków o naruszenie RODO, potencjał zaczynają w tym widzieć także kancelarie prawne więc należy uwzględniać ryzyka związane z brakiem zastosowania podstawowych standardów ochrony danych osobowych.
Dr Marcin Adamczyk z Narodowego Instytutu Samorządu Terytorialnego wyraził opinię, że zapewne dopiero gdy urząd nałoży pierwszą karę na jednostkę sektora finansów publicznych zacznie się zastanawianie czy "narozrabiał inspektor, czy to administrator nie uwzględnił sugestii inspektora".
Adamczyk zauważył też, że w praktyce część inspektorów pochodzi "z łapanki". Dr Małgorzata Ganczar z KUL dodała, że często w samorządach nie tworzono nowego stanowiska inspektora, ale dokładano jego obowiązki osobom już zatrudnionym.
Wiceprezes UDO zwrócił się do inspektorów: "Brońcie, walczcie o swój statut, opisany w ogólnym rozporządzeniu. Brońcie swojej niezależności, rozwijajcie swoją fachowość, bo stanowicie środowisko, które z jednej strony wpływa na podniesienie świadomości społecznej, a z drugiej na rozwój i podniesienie kultury i ochrony danych w Polsce. Jesteście państwo niesłychanie ważnym środowiskiem, nasze starania idą państwu naprzeciw" - mówił Sanek.
Samorządowców zapewniał: "Nie jesteście państwo sami". Zachęcił, by w przypadku wątpliwości sięgać do wytycznych Europejskiej Rady Ochrony Danych, stanowisk prezesa UODO, wydawanych poradników i kodeksów postępowania.
Zapowiedziano też, że w najbliższym czasie wydany zostanie poradnik instruujący jak dbać o dane osobowe podczas transmisji na żywo z prac organów kolegialnych JST.
Konferencję "Podsumowanie pierwszego roku obowiązywania RODO w jednostkach samorządu terytorialnego" zorganizowały w Sejmie: Komisja Samorządu Terytorialnego i Polityki Regionalnej, Urząd Ochrony Danych Osobowych oraz Narodowy Instytut Samorządu Terytorialnego.
js/