WYDANIE ONLINE
Kontrola Urzędu Ochrony Danych Osobowych jest elementem postępowania administracyjnego i może trwać nawet trzy miesiące. Dlatego tak istotne jest, aby dobrze się do niej przygotować. Jednak przed sektorem publicznym czekają również zmiany związane z nowymi przepisami wdrażającymi RODO. O szczegółach rozmawiamy z dr Maciejem Kaweckim, Dyrektorem Departamentu Zarządzania Danymi, Koordynatorem reformy ochrony danych osobowych w Ministerstwie Cyfryzacji.
Po długim okresie prac legislacyjnych Sejm uchwalił nowelizację niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (tzw. ustawę sektorową).
Dane osobowe podatników-darczyńców 1% podatku, deklarowane w rozliczeniu PIT za 2018 rok, przekazywane są organizacji pożytku publicznego przez naczelników urzędów skarbowych. Jeśli organizacja pożytku publicznego otrzyma dane osobowe podatnika od organu podatkowego, wówczas staje się ADO. Może je przetwarzać np. po to, by podziękować darczyńcy. Zdaniem Prezesa UODO podstawą do podjęcia takiego działania jest art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. A zatem kierując korespondencję do darczyńców, OPP powinny zadbać, by został wobec nich spełniony obowiązek informacyjny, w tym poinformować o przysługujących tym osobom prawach.
W projekcie rozporządzenia Prezesa Rady Ministrów w sprawie kompetencji, trybu i sposobu realizacji zadań przez inspektora ochrony danych wskazano szczegółowy sposób realizacji poszczególnych zadań IOD przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Dotyczy wyłącznie organów przetwarzających dane osobowe w związku z rozpoznawaniem, zapobieganiem, wykrywaniem i zwalczaniem czynów zabronionych.
Jak wskazuje Prezes UODO, odbieranie zleceń przelewu w formie ustnej przez pracowników Poczty Polskiej od klientów może skutkować niedopuszczalnym ujawnieniem ich danych osobowych osobom trzecim (najczęściej innym osobom obecnym na poczcie). Dotyczy to także szczególnych kategorii danych osobowych np. o stanie zdrowia (wszak tytułem przelewu może być zapis „leczenie” czy „operacja”). Poza tym takie rozwiązanie ogranicza prywatność zarówno osoby dokonującej przelewu, jak i odbiorcy przelewu. Prezes UODO zauważyła także, że klientom Poczty Polskiej nie proponuje się alternatywnego rozwiązania.
PROBLEM Nasza gmina podpisuje umowę z rzeczoznawcą na wykonanie operatu szacunkowego określającego wartość działki. Czy w umowie powinny być zapisy o powierzeniu przetwarzania danych osobowych?
PROBLEM Powiatowy urząd pracy (PUP) kieruje osoby bezrobotne na szkolenie do jednostki szkoleniowej i przekazuje jej dane ze skierowania, tj.: imię i nazwisko, adres zamieszkania, PESEL, nr dokumentu tożsamości. Do tej pory tworzone były umowy powierzenia pomiędzy jednostką szkoleniową a PUP. Czy takie rozwiązanie jest jednak prawidłowe? Czy przekazanie danych ze skierowania jednostce szkoleniowej jest niezbędne do realizacji celu? Czy nie można tego celu osiągnąć inaczej, np. poprzez przekazanie imienia i nazwiska uczestnika szkolenia oraz okazania przez niego skierowania w dniu rozpoczęcia szkolenia? Zastanawiam się również, czy warto także wspomnieć o przetwarzaniu danych przez firmę szkoleniową do własnych celów, np. w przypadku, jeżeli szkolenie daje jakieś uprawnienia, firma szkoleniowa będzie miała własne cele związane z dokumentowaniem przyznanych uprawnień?
PROBLEM Gmina zleciła firmie X przeprowadzenie loterii dla mieszkańców gminy. Firma ta uzyskuje zezwolenie na loterię jako organizator. Gmina funduje nagrody i nie ma dostępu do danych uczestników loterii poza wręczeniem nagród. Firma X zrealizuje loterię za pomocą strony internetowej, gdzie wpisywane będą dane, takie jak: imię, nazwisko, PESEL oraz miejscowość wskazana w PIT. Następnie system przyzna uczestnikowi numerek i ten numerek będzie brał udział w losowaniu fizycznym. Czy w takim przypadku administratorem danych osobowych będzie gmina, czy firma, której zlecono przeprowadzenie loterii? Ponadto, czyPESEL jest niezbędny do realizacji celu przetwarzania danych osobowych? Może zamiast PESELU można wykorzystać adres zamieszkania? Czy gmina będzie przekazywała dane osobowe mieszkańców firmie X w celu promocji loterii?
PROBLEM Czy urząd gminy może na wniosek o udostępnienie informacji publicznej podać wnioskodawcy adresy zamieszkania sołtysów? Jeśli chodzi o radnych na pewno nie, ale jak sytuacja wygląda w przypadku sołtysów?
PROBLEM W ostatnim czasie pojawiły się doniesienia, że osoby podszywają się pod kontrolerów z UODO. Kto faktycznie może przeprowadzić kontrole w jednostce i jak nie dać się nabrać na działania oszustów?
PROBLEM Chcemy wprowadzić na terenie naszego miasta monitoring w celu poprawy bezpieczeństwa naszych mieszkańców oraz turystów. Dotarła jednak do nas wiadomość, że w związku ze skargami mieszkańców na rozbudowę systemu monitoringu w Krakowie, interweniował Rzecznik Praw Obywatelskich. Czy przepisy RODO oraz interwencje rzecznika doprowadzą do tego, że wprowadzenie monitoringu będzie bezcelowe? Nie chcemy ponosić kosztów instalacji urządzeń, które trzeba będzie później demontować.
Pomioty publiczne to jeden z sektorów, w kórym Urząd Ochrony Danych Osobowych zaplanował kontrole w 2019 roku. Dlatego tak istotne jest, aby dobrze przygotować się do postępowania, poznać prawa kontrolowanego oraz obowiązki i uprawnienia kontrolującego. Poniższa intrukcja pokazuje, jak ten proces dokładnie wygląda.
Jednym z obowiązków Urzęd Ochrony Danych Osobowych jest sprawdzanie czy dane osobowe przetwarzane przez podmioty publiczne są bezpieczne. Narzędziem to realizacji tego zadania jest m.in. kontrola i weryfikacja, czy wszystkie niezbędne procedury są wdrożone w podmiocie i skutecznie realizowane. Poniższa lista kontrolna pozwala przygotować się na wizytę kontrolera UODO.
