Jak jednostki samorządu terytorialnego chronią dane osobowe znajdujące się w rejestrach publicznych?

Sytuacja nie jest zła, choć trudno generalizować, biorąc pod uwagę, że w Polsce działa prawie trzy tysiące jednostek samorządu terytorialnego. W większości instytucji samorządowych istnieje przekonanie, że ta tematyka jest ważna i zajmuje się nią prawie każdy urzędnik, który wykonując swoją pracę, ma dostęp do zgromadzonych w urzędach danych osobowych. Zawsze oczywiście zdarzają się pewne nieprawidłowości, które wykrywamy w toku naszych inspekcji bądź na podstawie wpływających do generalnego inspektora ochrony danych osobowych skarg. Ogólnie jednak ochrona danych osobowych w samorządach jest zadowalająca.

Coraz więcej samorządów stawia na nowoczesne sposoby komunikacji z mieszkańcami, a wiele danych gromadzonych jest również w zbiorach elektronicznych. Na jakie elementy przy takim sposobie gromadzenia i przetwarzania danych osobowych samorządy powinny zwrócić szczególną uwagę?

Jesteśmy w okresie dość istotnej zmiany, jeżeli chodzi o korzystanie z danych osobowych, które pochodzą z różnego rodzaju rejestrów publicznych. Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne, po pierwsze, wprowadziła bardzo szeroką definicję rejestru publicznego, co jest szczególnie istotne dla właściwego ich zabezpieczenia. Po drugie, zmiany, które zostały wprowadzone do kodeksu postępowania administracyjnego w 2010 r., szczególnie w art. 220, wprowadzają domniemanie, że urząd może skorzystać elektronicznie z dostępnych dla niego rejestrów publicznych. Ta sytuacja zmieniła znacząco podejście instytucji samorządowych do danych rejestrowych. Do tej pory rejestry kojarzyły się nam z papierowymi księgami albo bazami danych, w których gromadzone były dokumenty zawierające różnego rodzaju dane, w tym dane osobowe. Tymczasem dzisiaj, kiedy rejestry prowadzone są w formie relacyjnych baz danych, tak naprawdę są one miejscem przechowywania bardzo różnych rodzajów danych, które niosą informacje przywiązane nie do dokumentu, ale np. do danej osoby, przedmiotu czy nieruchomości. To powoduje, że realizując zadanie publiczne, np. wydając jakąś decyzję, urzędnik korzysta z pojedynczych danych z różnych rejestrów; z rejestru PESEL pobiera jakiś fragment, z ewidencji gruntów i budynków inny, a z rejestru związanego z podatkami lokalnymi jeszcze inny element. Mamy więc do czynienia nie z transportem dokumentu w znaczeniu tradycyjnym, ale z wykorzystaniem danych za pomocą środków elektronicznych. To zaś powoduje, że ochrona danych, w tym danych osobowych, to nie jest tylko ochrona dokumentu, ale również ochrona procesu przetwarzania.

W jaki zatem sposób powinien przebiegać proces ochrony tak gromadzonych danych osobowych?

Jak wspomniałem na początku rozmowy, chociaż ochrona danych osobowych w samorządzie terytorialnym nie wygląda źle, to wciąż dotyczy ona tradycyjnego dokumentu albo ochrony poszczególnego komputera czy serwera, na którym znajdują się dane. Dziś natomiast potrzebne jest inne spojrzenie na ochronę danych osobowych. Przede wszystkim należy zastanowić się nie tylko nad tym, czy komputer jest dobrze chroniony, ale również nad tym, czy w procesie ochrony danych osobowych nie pojawiają się jakiegoś rodzaju zagrożenia, np. czy do przetwarzanych danych dostęp mają tylko ci urzędnicy, którzy zajmują się wykonaniem określonego zadania, czy też osoby trzecie, m.in. administratorzy baz albo informatycy przygotowujący różnego rodzaju oprogramowanie. To często jest konieczne, ale musi odbywać się na określonych zasadach. Osoby te muszą być poinformowane o tym, że przetwarzają dane osobowe na potrzeby poszczególnych procesów i nie mogą tych danych ani wykorzystywać w innych celach, ani dowolnie łączyć. Mogą je łączyć tylko w takim zakresie, w jakim przewiduje to wykonywane przez nich zadanie. Zatem oprócz polityki bezpieczeństwa dokumentu, serwera czy bazy danych potrzebne jest stworzenie w samorządach polityki bezpieczeństwa i zasad zarządzania prywatnością również dla procesu administracyjnego, w czasie którego może być wykorzystanych mnóstwo informacji pochodzących z różnych dokumentów i rejestrów.

Kto ze strony samorządowej powinien koordynować te zadania?

To jest zdanie dla szefa jednostki samorządowej. W praktyce jednak prawidłowa realizacja tych obowiązków spoczywa na sekretarzu gminy czy powiatu, choć z pewnością jest to praca zespołowa i wymaga zaangażowania wielu osób. Ważną kwestią, na którą warto zwrócić uwagę, jest możliwość przetwarzania danych osobowych znajdujących się w zasobach urzędu przez podmiot zewnętrzny, czyli tzw. outsourcing. Uważam, że jednostki samorządu terytorialnego mogą korzystać z tego rozwiązania, ale pod jednym podstawowym warunkiem, jakim jest zawarcie z podmiotem zewnętrznym tzw. umowy powierzenia przetwarzania danych osobowych. Należy w niej określić zakres powierzonych do przetwarzania danych oraz cel, w jakim podmiot, któremu je powierzono, może je przetwarzać. Podmiot ten może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Jest też odpowiedzialny za właściwe ich zabezpieczenie, co wprost wynika z przepisów ustawy o ochronie danych osobowych.

W tym kontekście bardzo istotne jest zidentyfikowanie, w jakich przypadkach samorząd powinien zawrzeć z podmiotem zewnętrznym tzw. umowę powierzenia przetwarzania danych osobowych lub uwzględnić niezbędne jej elementy w innej podpisywanej umowie zawieranej z takim podmiotem. W praktyce bowiem gminom często wydaje się, że zawierają tylko umowę serwisową. Tak naprawdę jednak instytucja, która świadczy usługę serwisową, ma dostęp do danych osobowych, a więc je przetwarza. Oznacza to, że powinna być ona przeszkolona, aby zapewnić odpowiednią ochronę danych osobowych. Takim klasycznym przykładem błędnego zabezpieczenia danych, a w konsekwencji ich wycieku, była sytuacja, która zdarzyła się podczas ostatnich wyborów samorządowych we Wrocławiu. W tym przypadku dane z karty miejskiej zostały wykorzystane na potrzeby marketingu politycznego. Samorządowcom zabrakło świadomości celu, w jakim były gromadzone te dane osobowe. Należy zatem pamiętać, że przetwarzanie danych osobowych dla innego celu nie jest możliwe, jeżeli administracja nie ma do tego podstawy prawnej. Innym słowy, administracja publiczna może działać tylko w takim zakresie, jaki wyraźnie określają przepisy prawa.