statystyki

RODO: Dane urzędników w luce prawnej. Sądy ustalą, czy ich nazwiska znikną z BIP

autor: Joanna Pieńczykowska04.04.2018, 09:32; Aktualizacja: 04.04.2018, 09:53
Zdaniem GIODO w polskim prawie istnieje luka, bo z jednej strony przepisy nakazują zamieszczać na stronach BIP dane osób, które wprowadzają tam informacje publiczne, a z drugiej – nie regulują tego, jak długo takie dane mają być przetwarzane.

Zdaniem GIODO w polskim prawie istnieje luka, bo z jednej strony przepisy nakazują zamieszczać na stronach BIP dane osób, które wprowadzają tam informacje publiczne, a z drugiej – nie regulują tego, jak długo takie dane mają być przetwarzane.źródło: ShutterStock

Zgodnie z zasadą ograniczenia czasowego ujętą w RODO przechowywanie informacji w postaci umożliwiającej identyfikację osób, których one dotyczą, nie powinno trwać dłużej niż to niezbędne do osiągnięcia celu przetwarzania - mówi Monika Krasińska, dyrektor departamentu orzecznictwa, legislacji i skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych.

Kilka tygodni temu pisaliśmy na łamach tygodnika Samorząd i Administracja, że jest problem z ochroną danych osobowych tych pracowników urzędów, którzy odpowiedzialni są za wprowadzanie informacji w Biuletynie Informacji Publicznej. Kiedy taka osoba odchodzi z pracy, jej dane nadal figurują na stronie przez wiele lat. Tymczasem wchodzi wkrótce RODO, które zwiększa nacisk na uprawnienia osób, których dane są przetwarzane. Czy GIODO podziela te obawy?

Unijne rozporządzenie o ochronie danych (RODO) zmusza nas do ponownego przyjrzenia się dotychczasowym polskim regulacjom dotyczącym upubliczniania informacji publicznej w sieci, w tym w BIP. Niewątpliwie w przepisach istnieje pewna luka. Obecnie w polskim prawie obowiązują bowiem jedynie regulacje, które odnoszą się do obowiązku publikacji danych osobowych pracowników wytwarzających oraz zamieszczających informacje w BIP. Nie ma natomiast żadnych przepisów, które regulowałyby chociażby retencję tych danych, czyli to, jak długo mają być one przetwarzane. Zatem po 25 maja 2018 r. trzeba będzie odwoływać się do ogólnych zasad wynikających z RODO. Rozporządzenie unijne wskazuje zaś, że przetwarzane powinny być tylko te dane, które są niezbędne do osiągnięcia określonego celu. Ponadto, zgodnie z zasadą ograniczenia czasowego ujętą w art. 26 ust. 1 pkt 4 RODO, przechowywanie danych w postaci umożliwiającej identyfikację osób, których one dotyczą, również nie powinno trwać dłużej niż to niezbędne do osiągnięcia celu przetwarzania.

Czy możemy zatem mówić również o konflikcie interesu publicznego z prywatnym?

Problem dotyczy szerokiego kręgu osób i to nie tylko tych, które są osobami publicznymi bądź pełnią określone funkcje publiczne. Z jednej strony w okresie zatrudnienia są one, czego wymaga prawo, identyfikowane z jednostką, w imieniu której występują. A ich prawo do prywatności podlega pewnemu ograniczeniu, gdyż w obszarze swojej aktywności zawodowej nie są traktowane jak osoby prywatne. Z drugiej zaś strony mają one także prawo oczekiwać innego podejścia do informacji zgromadzonych o nich w momencie, kiedy przestają pełnić swoje dotychczasowe funkcje i jako osoby prywatne z reprezentowaną dotychczas instytucją nie mają już nic wspólnego. Zasadne jest pytanie: jak długo osoba, która już nie pełni funkcji publicznej, ma być identyfikowana jako pracownik zatrudniony w danej instytucji albo jako osoba pracująca przy pewnym dokumencie i identyfikowana jako jego wytwórca. O ile w przypadku przechowywania dokumentacji zawierającej takie informacje istnieją odrębne przepisy prawa kształtujące okres archiwizacji, o tyle tożsame dokumenty funkcjonujące w BIP lub na stronach internetowych różnych instytucji przechowywane są bezterminowo.

Jakie dostrzega pani z tym związane zagrożenia z punktu widzenia ochrony danych osobowych tych osób?

Pamiętajmy, że BIP to ujednolicony system stron internetowych, stworzony w celu powszechnego udostępniania informacji publicznej. Ze swej istoty ten publikator teleinformatyczny ma na celu w sposób powszechny udostępniać informacje publiczne, przez co stają się one elementem całego wirtualnego świata. A zatem wszelkie informacje z BIP, jako pozyskane ze źródeł powszechnie dostępnych, będą mogły być przetwarzane przez różne podmioty, które tymi informacjami w różnorodnych celach będą mogły dowolnie rozporządzać. Oczywiście i one będą musiały rozliczyć się z procesów przetwarzania danych pozyskanych ze źródeł powszechnie dostępnych, ale nie zmienia to faktu, że dotychczasowy udostępniający administrator traci nad nimi w tym zakresie kontrolę. Generalny inspektor ochrony danych osobowych wielokrotnie zwracał uwagę - zarówno w przeszłości przy kolejnych nowelizacjach ustawy o dostępie do informacji publicznej, jak i teraz przy opiniowaniu powstającego projektu ustawy o jawności życia publicznego - że właśnie poprzez publikowanie w BIP różnego rodzaju danych osobowych dostęp do nich będzie miała nieograniczona liczba użytkowników. A to wiąże się z kolei z takimi ryzykami, jak przetwarzanie danych tych osób w celach marketingowych czy chociażby ich profilowanie, tj. m.in. określanie ich cech osobowościowych czy prognozowanie zachowań na podstawie danych zebranych z różnych źródeł. Dane zamieszczane w BIP mogą być wykorzystane również w wielu innych celach, których dziś nie jesteśmy nawet sobie w stanie wyobrazić. W związku z tym spoczywa na nas szczególna odpowiedzialność za stworzenie takich przepisów, które będą gwarantować poszanowanie praw osób, których publikowane dane dotyczą. Kluczowy jest przy tym test proporcjonalności i to zarówno na etapie zbierania, jak i późniejszej publikacji danych. Trybunał Sprawiedliwości UE przy wielu okazjach wypowiadał się na temat publikacji danych w internecie, wskazując, że państwa członkowskie powinny uważnie rozważyć zarówno konflikt interesów między transparentnością działań publicznych a ochroną danych uczestniczących w nich osób, jak i zakres danych, które często są publikowane w sposób nadmiarowy (np. w sprawach C-465/00, C-138/01 oraz C-139/01). Poddawał także pod rozwagę zasadę minimalizacji i mechanizmy anonimizacji określonych danych przed ich ujawnieniem.


Pozostało jeszcze 55% treści

Czytaj wszystkie artykuły na gazetaprawna.pl oraz w e-wydaniu DGP
Zapłać 97,90 zł Kup abonamentna miesiąc
Mam kod promocyjny
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Reklama

Komentarze (2)

  • Jan niezbędny(2018-04-11 10:11) Zgłoś naruszenie 20

    Sztuczne pompowanie balonu do granic absurdu po to tylko by wyciągnąć kasę. Bo kolejne procedury, instrukcje, a im bardziej skomplikoane i zagmatwane tym lepiej dla tych specjalistów, nic to, że w praktyce większość z tych procedur pozostanie "martwa" no ale przecież iluś tam "fachoców" znajdzie pracę i nieźle zarobi. Pamiętam taki balon przed rokiem 2000 , straszono wtedy, że wszystkie komputery staną, każda firma, każdy urząd na gwałt kupował nowy sprzet, nie ważne czy był potrzebny czy nie. Biznes is biznes , show must go on

    Odpowiedz
  • Jaca(2018-05-10 00:19) Zgłoś naruszenie 10

    Dokładnie tak było, a teraz jest jeszcze gorzej. Wszyscy są zasypywani mailami o treści w stylu "Jesteś przygotowany na nadejście RODO? Przygotuj się na kary do 20 milionów € albo kup od nas program/dokumentację/szkolenie za XXX zł."

    Odpowiedz

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Galerie

Polecane