Poradnik w sprawie RODO dla administracji publicznej został wydany tak późno, bo jest to materia najtrudniejsza, najbardziej rozbudowana - mówi Maciej Kawecki.
Ministerstwo Cyfryzacji przygotowało poradnik dla administracji publicznej na temat stosowania RODO. Omawiacie w nim 27 kwestii – m.in. dotyczących transmisji online obrad rad czy sejmików, organizowania imprez masowych, spraw związanych z poziomami wynagrodzeń urzędników i publikacji ich danych osobowych. Rzecz w tym, że RODO jest z nami od maja ubiegłego roku. Dlaczego dopiero teraz publikujecie taki bryk?
Od razu po wejściu w życie RODO w Ministerstwie Cyfryzacji powstała Grupa Robocza ds. Ochrony Danych Osobowych. Liczy ona ok. 100 osób, a więc mamy pewne ograniczenia natury organizacyjnej. Wypracowanie dokumentów trwa. One nie mają mocy prawnej, ale ich wartość polega na sile autorytetu tego procesu. Niemniej grupa zajmowała się wydawaniem różnego rodzaju poradników w sposób cykliczny. Najbardziej pilny był obszar ochrony zdrowia i życia – te wszystkie absurdy związane ze szpitalami, z nieudostępnianiem informacji telefonicznie czy niepodpisywaniem kroplówek. Dlatego pierwszy poradnik miał na celu wyprostowanie tych kwestii. Drugi obszar dotyczył sektora przedsiębiorców, sektora finansowego oraz ubezpieczeniowego. Tam tych pytań i wątpliwości jest bardzo wiele. Trzeci poradnik dotyczył brexitu. Od 29 marca Wielka Brytania – dziś możemy to powiedzieć z coraz większym prawdopodobieństwem – wystąpi bezumownie z Unii Europejskiej, dla przedsiębiorców jest to wyzwanie, więc należy im pomóc i zapewnić jak najswobodniejszy przepływ danych po tym terminie. W międzyczasie cały czas pracowaliśmy nad poradnikiem przeznaczonym dla administracji publicznej. Teraz go wydajemy, zbierając w nim odpowiedzi na te pytania, które najczęściej do nas trafiają.
Wydaliśmy go tak późno również ze względu na to, że to jest najtrudniejsza materia, najbardziej rozbudowana. Jeśli rozważamy konflikt dwóch praw – z jednej strony ochrona zdrowia i życia, a z drugiej prawo do prywatności, każdy Polak powie, że ta pierwsza wartość ma większe znaczenie. Jeśli jednak spojrzymy na dwie inne wartości – dostęp do informacji publicznej i transparentność działania władzy publicznej z jednej strony oraz prawo do prywatności z drugiej – to już takiego jasnego przesądzenia nie mamy. Rozstrzyganie tego typu kwestii spowodowało, że przygotowanie poradnika dla administracji publicznej zajęło nam tyle czasu.
Z czym, w kontekście RODO, samorządowcy mają największy problem? Z jakimi pytaniami najczęściej się do was zgłaszają?
W listopadzie miałem spotkanie z samorządowcami z Małopolski. Pierwszych 10 pytań dotyczyło transmisji posiedzeń rad gmin, powiatów i sejmików. Nikt nie ma wątpliwości co do tego, że transmisja online z tych sesji utrwala wizerunek radnego. Pytania dotyczyły jednak innych kwestii – co, jeśli np. na posiedzenie rady trafia jakaś skarga, często odczytywana w całości, a osoba skarżąca ujawnia w tym piśmie dane wrażliwe dotyczące sąsiada? Przykładowo, że był skazany, że cierpi na określoną chorobę itd. Takie sprawy czasami trafiają na posiedzenia lokalnych władz. I w tym momencie oprócz transmisji na żywo, w ramach której te kwestie mogłyby zostać ujawnione, będziemy mieli jeszcze ich utrwalanie, bo przepisy mówią nie tylko o transmitowaniu posiedzeń, ale również ich utrwalaniu. W poradniku przesądzamy, że dane wrażliwe powinny być anonimizowane na etapie umieszczania zapisu audio-wideo np. na stronach urzędowych.
W przypadku transmisji na żywo musimy się pogodzić z tym, że ktoś powie o jedno słowo za dużo i tego już nie wypikamy?
Nie jesteśmy w stanie przewidzieć, co zrodzi się w czyimś umyśle i co w związku z tym powie przy okazji transmisji online, natomiast w tym przypadku ważymy racje, o których wcześniej wspominałem. I tu wygrywa transparentność działań administracji publicznej. Zanonimizowanie powinno być wyjątkiem, a nie zasadą. Samorządowcy pytali też często o kwestię obowiązku informacyjnego. RODO bowiem stanowi, że trzeba poinformować zainteresowaną osobę o przetwarzaniu jej danych. Tych osób, których dane są wyczytywane na posiedzeniu rady, nie jesteśmy w stanie o tym poinformować, bo ich zazwyczaj na sesji po prostu nie ma. Ale może się zdarzyć, że w grę wchodzą dane osób, które są obecne na takim posiedzeniu. Wskazujemy, że w tej sytuacji można np. nakleić kartkę lub położyć zalaminowaną kartkę na mównicy. Osoba, która potem przy niej staje, mając informację, że posiedzenie jest transmitowane online oraz kto jest administratorem danych, może dzięki temu uważniej dobierać słowa.
O jakie kwestie dopytują jeszcze samorządowcy?
Dużo pytań dotyczy zabezpieczeń. Ważne jest, by np. serwery zlokalizowane były w odpowiednich pomieszczeniach, na jakimś podwyższeniu, by nie doszło do jego awarii w razie jakiegoś zalania.
Skoro nieprzewidziane sytuacje zdarzają się nawet w takim T-Mobile, któremu spłonęła spora część data center w Annopolu, to tym bardziej problem może dotknąć małe gminy.
Dokładnie tak. Oczywiście staramy się, by samorząd zabezpieczał posiadane dane coraz lepiej, jednak wdrażanie RODO to proces ciągły. Wiele pytań wiąże się z interpelacjami poselskimi, a więc z ustawą o wykonywaniu mandatu posła i senatora. To na jej mocy parlamentarzyści wysyłają pisemne pytania do urzędów w różnych kwestiach. Odpowiedź czasami wymaga ujawnienia danych osobowych urzędnika czy osoby trzeciej. Pojawiły się wątpliwości, czy RODO nie stoi temu na przeszkodzie. Otóż i pytania posłów, i odpowiedzi samorządowców na takie interpelacje mogą zawierać dane osobowe, bo podstawą do gromadzenia takich informacji jest właśnie ustawa o wykonywaniu mandatu posła i senatora.
Wspomniał pan o parlamentarzystach, ale radni teraz też mają podobne uprawnienia. Mogą kierować pytania do różnych urzędów, żądać dostępu do pomieszczeń.
I tu regulacje są analogiczne. Nie jesteśmy w stanie odpowiedzieć na wszystkie pytania, ale liczymy też na to, że samorządy będą odnosić się do pewnych problemów w drodze analogii. Jeśli mamy wyraźną normę kompetencyjną, przyznającą np. posłom czy senatorom pewne uprawnienia, to w każdym przypadku – niezależnie od tego, czy to radny gminy czy sejmiku – uprawnienia są identyczne. Co nie oznacza jeszcze, że na samorządzie nie spoczywa obowiązek należytego zabezpieczenia danych w momencie, gdy trafiają one do urzędu. Absolutnie spoczywa.
W maju w samorządach w całej Polsce będą musiały się odbyć sesje rad, podczas których omówiony zostanie raport o stanie samorządu. Prawo głosu będą mieli mieszkańcy, którzy wcześniej zgłoszą się w trybie ustawowym. Czy tu może dojść do jakichś problemów z ochroną danych wrażliwych?
Transmisja online nie wyłącza tego, że pewne działania podejmowane na posiedzeniach mogą być czynami niezgodnymi z prawem i wówczas komuś przysługują roszczenia. Oczywiście sąd będzie brał pod uwagę to, że dostęp osób, które dowiedziały się o tym, był większy przez fakt transmisji online. I tu znów wracamy do dwóch wartości – transparentności i prawa do prywatności.
Były dotąd jakieś przypadki, by samorządy dopuściły się złamania przepisów RODO?
O to trzeba byłoby zapytać Urząd Ochrony Danych Osobowych, bo to on te sytuacje diagnozuje. Ze swojej strony mogę powiedzieć tyle, że jakiś czas temu upubliczniony został raport NIK dotyczący jednego z województw, w którym faktycznie wykazano pewne nieprawidłowości. Podjęliśmy działania – organizujemy tam konferencję merytoryczną, na której opowiemy o naszych doświadczeniach w związku z RODO, bo w końcu Ministerstwo Cyfryzacji było pierwszym urzędem, który przeszedł kontrolę RODO w tym kraju. Wiemy więc, jak taka kontrola wygląda, a ponadto nie wykazano nam żadnych nieprawidłowości.
Na działania informacyjne Ministerstwa Cyfryzacji w kontekście RODO krzywo patrzy Urząd Ochrony Danych Osobowych (UODO). W styczniu prezes tej instytucji wydała oświadczenie, w którym przypomniała, że w Polsce „jedynym właściwym i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych jest Prezes UODO, który ma status i kompetencje organu nadzorczego określone w RODO”.
Za każdym razem zapraszamy UODO do współpracy przy poradnikach. Na pierwszym posiedzeniu Grupy Roboczej, która wydała ten dokument, przedstawiciele UODO byli obecni. Nasze publikacje nie mają mocy wiążącej, ale mają siłę autorytetu osób, które poradniki tworzą. I to zawsze podkreślamy. Liczymy, że UODO zapozna się z ich pracą. Staraliśmy się, by odpowiedzi na pytania były oparte na przepisach prawa. Naszym celem jest wyłącznie podnoszenie świadomości i wspieranie urzędników mających na co dzień styczność z RODO. Nie chcemy się z nikim antagonizować. Zresztą w niektórych kwestiach poruszonych w naszym poradniku, np. związanych z monitoringiem posiedzeń rad, kierowaliśmy do UODO informacje o tym, że potrzebne jest stanowisko urzędu, bo pojawiają się pytania. Zakładam, że urząd ma tego świadomość i nie ma nic przeciwko, że taki poradnik opracowaliśmy.
Czytaj też w Tygodniku Samorząd i Administracja