Należy pamiętać, że organy będą zobowiązane do zbierania danych osobowych tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach. W praktyce może to oznaczać, że urzędy powinny de facto przeanalizować każde postępowanie i ustalić jakie dane osobowe będą w nim przetwarzane i w jakim celu. Wynika to bowiem z tego, że rozporządzenie UE o RODO zakazuje przetwarzania dalej takich danych w sposób niezgodny z celami.
Kolejnym problemem praktycznym jest obowiązek przechowywania danych osobowych w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. Pojawia się pytanie, na jak długo? Czy takim terminem jest zakończenie postępowania? Rozporządzenie oczywiście pozwala na przechowywanie takich danych przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym dla celów statystycznych. Ale czy można zatem uznać, że decyzja ustalająca uprawnienia np. prawo do zasiłku jest decyzją, którą można przechowywać ze względu na cel publiczny?
- Obecnie po zakończeniu postępowania decyzja wraz z aktami jest przechowywana w archiwum - mówi Anita Poniatowska-Maj, radca prawny, partner w GP Kancelarii Radców Prawnych. - Różnica polega na tym, że obecnie nie ma tak rygorystycznych zasad, co do przechowywania danych osobowych w sprawach administracyjnych, tj. nie trzeba ustalać celu przechowywania po zakończeniu sprawy. Na pewno potrzeba czasu, aby organy administracyjne mogły stworzyć odpowiednią praktykę – mówi radca.
Inną istotną sprawą w założeniach RODO jest szacowanie ryzyka, co również nie ominie organów. Będą one zobowiązane do oceny prawdopodobieństwa i powagi ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Dokonując takiego szacunku, należy wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania danych. Rozporządzenie RODO stanowi, że ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. W praktyce chodzi o wdrożenie odpowiednich do zagrożeń środków technicznych i organizacyjnych (np. pseudonimizacja na możliwie najwcześniejszym etapie procesu, szyfrowanie, zapewnienie poufności, integralności, dostępności i odporności systemów). Po pomoc w ustalaniu ryzyk, organy mogą w przyszłości sięgnąć do zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych.
- W tej chwili trudno sobie wyobrazić, jak takie szacowanie będzie wyglądało dla danego postępowania – mówi radca z GP Kancelarii Radców Prawnych. - Na pewno wiele będzie zależało od odpowiedniego przygotowania procedur i zasad szacowania ryzyka, a następnie przeszkolenia pracowników i nadzorowania ich w zakresie wykonywania obowiązków związanych z przetwarzaniem danych osobowych – twierdzi prawnik.
To co różni organy administracyjne w tym zakresie od przedsiębiorców to mentalne podejście do ochrony danych oraz olbrzymi dług technologiczny, nie tylko w zakresie braku odpowiedniej infrastruktury, ale także niestety niechęci wielu urzędników do korzystania z prostych rozwiązań IT, programów itp. Kluczową kwestią jest również obowiązek przestrzegania przez pracowników urzędów odpowiednich wytycznych, a do tego potrzebne są odpowiednie narzędzia/procedury.
Z podstawowych zasad, które według ekspertów warto wymienić i nie trudno wdrożyć, to:
• zablokowanie komputera przy każdym odejściu od niego,
• brak możliwości zapamiętywania hasła,
• systemowe wymuszanie zmiany hasła np. co tydzień,
• ustawienie monitora tak, aby nie było widoczne, co się na nim znajduje.
Odpowiednia praktyka
Urzędnicy dostrzegają potrzebę zmian w swoim dotychczasowym działaniu i w postępowaniu administracyjnym. Przygotowują się do tego już od miesięcy. Z różnym skutkiem.
Urząd Miejski w Bytomiu jest w trakcie wdrożenia Polityki Bezpieczeństwa i Procedur dot. ochrony danych osobowych, a także dokumentacji określającej ryzyka przetwarzania danych osobowych. Prowadzone są między innymi szkolenia dla pracowników urzędu. - Najpierw naczelnicy i kierownicy Wydziałów/Biur, a następnie pozostali pracownicy poznają tajniki z zakresu ochrony danych osobowych (RODO). Przekazywane one są im przez ABI /Administratora Bezpieczeństwa Informacji, który w przyszłości będzie u nas pełnił funkcję Inspektora IOD – mówi Dawid Wowra rzecznik Prasowy Biura Prasowego Urzędu Miejskiego w Bytomiu.
Do RODO przygotowuje się również Białystok, ale widzi, że nie wszystko może pójść po ich myśli. - Dla nas problem stanowi brak nowej ustawy o ochronie danych oraz przepisów wprowadzających ustawę o ochronie danych osobowych. Powoduje to, że obecnie nie są określone wszystkie aspekty związane z ochroną danych i to jest w głównej mierze źródłem wielu niedomówień, czy pojawiających się wątpliwości. Ze względu na zbliżający się termin stosowania RODO, zmuszeni jesteśmy korzystać z projektów ustaw i na bieżąco śledzić ich zmiany – twierdzi Kamila Bogacewicz z Departamentu Komunikacji Społecznej Urzędu Miejskiego w Białymstoku.
Problemy dostrzega też Bogdan Stachowicz, ABI w Starostwie Powiatowym w Bełchatowie. - Poważną obawę budzi opieszałość ustawodawcy w kwestii uregulowania stanu w obszarach 133 ustaw (wg Min. Cyfryzacji), w których stosowanie przepisów RODO będzie prowadziło do kolizji z obowiązującym polskim prawem. Należy się, niestety obawiać, że czeka nas pewien okres improwizacji, czyli czekanie na jakieś orzeczenie sądu, będące wskazówką interpretacyjną.
Warto podpatrzyć u innych
Mimo wielu wątpliwości urzędy nie boją się stawiać na własne śmiałe rozwiązania, które przed negatywnymi konsekwencjami mają uchronić zarówno ich, jak i petentów.
Przykłady już wdrożonych, dobrych praktyk urzędniczych, niezależnych od RODO, prezentuje Słupsk. To:
• opracowana dokumentacja w postaci Polityki Bezpieczeństwa Informacji, Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych,
• wszystkich pracowników obowiązuje procedura czystego biurka, pulpitu oraz drukarki - tzn. każde stanowisko ma ustawiony wygaszacz ekranu, a pracownicy są zobowiązani do pozostawienia czystych biurek w momencie opuszczenia stanowiska pracy,
• każdy nowo zatrudniony pracownik zostaje przeszkolony w zakresie ochrony danych osobowych przed rozpoczęciem pracy, a przynajmniej raz do roku wszyscy pracownicy przechodzą szkolenie w tym zakresie,
• każdy pracownik posiada indywidualny login i hasło do systemów informatycznych, które posiadają mechanizm wymuszający okresową zmianę haseł dostępu,
• każdy pracownik dostaje upoważnienie do przetwarzania danych osobowych w zbiorach zgodnie z zakresem obowiązków na zajmowanym stanowisku,
• urząd prowadzi rejestr zbiorów, w których przetwarzane są dane osobowe,
• w przypadku wymiany informacji między urzędem, a stronami zewnętrznymi zawierane są umowy na powierzenie przetwarzania danych osobowych,
• nadawane są uprawnienia do odbioru kluczy do poszczególnych pomieszczeń dla wskazanych pracowników, oznaczenie i zabezpieczenie w zamki szafek, w których przechowywane są dane osobowe,
• wyznaczono ASI - Administratora Systemów Informatycznych, który sprawuje nadzór nad przetwarzaniem danych osobowych w systemie informatycznym.
Jednak wytyczne wewnętrzne to jedno. Niektóre urzędy pokazują też jak w reżimie RODO podejść do obsługi postępowań na linii urzędnik – petent. Tu też wymagana jest nowa procedura. Bo jeśli chodzi o Kowalskiego, to przede wszystkim zyska on zupełnie nowe uprawnienia, takie jak: prawo do żądania usunięcia danych osobowych ze wszystkich nośników, prawo do przeniesienia swoich danych osobowych i obowiązek poinformowania o wszelkich naruszeniach.
Na te zmiany przygotował się już Kraków i Bytom. Marek Mierosławski, Administrator Bezpieczeństwa Informacji w Urzędzie Miasta Krakowa twierdzi, ochrona baz danych będzie dalej zabezpieczona środkami przewidzianymi w dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji.
- W samej korespondencji z klientami nic się nie zmieni. Jednak przy przetwarzaniu danych na podstawie zgody osoby, będziemy wobec tej osoby musieli spełnić tzw. obowiązek informacyjny. Różnica polega na tym, że RODO wprost nakazuje, że informacje te mają być zredagowane językiem przystępnym i zrozumiałym dla strony – mówi ABI.
By temu sprostać, np. Bytom opracował nowe druki dotyczące obowiązku informacyjnego z art. 13 RODO, jak również aneksy umów powierzenia danych osobowych oraz upoważnienia i polecenia przetwarzania danych osobowych zgodnie z art. 29 RODO.
Osoba inspektora danych osobowych
Wszystkie wymienione procesy będą podlegać ścisłej kontroli inspektora ochrony danych osobowych. Kwalifikacje dla IOD wskazuje art. 37 ust. 5 rozporządzenia RODO. Inspektor jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39. Kwalifikacje wskazane w RODO odnoszą się do kompetencji z zakresu prawa, informatyki, a w szczególności bezpieczeństwa systemów informatycznych i audytu/kontroli.
- Ocena umiejętności potencjalnego IOD jest trudna dla administratora, który nie posiada możliwości zweryfikowania wskazanych kwalifikacji – mówi Kamila Bogacewicz z UM w Białymstoku.- Można się posiłkować certyfikatami potwierdzającymi umiejętność zarządzania zgodnie z normami np. ISO 27001, dyplomami ze studiów podyplomowych szkolących IOD, ale również kursami z zakresu ochrony danych osobowych i bezpieczeństwa systemów informatycznych. Nie ma jednego dokumentu potwierdzającego takie kwalifikacje. Przy ocenie kwalifikacji niezwykle istotna jest praktyka zawodowa i doświadczenie obecnych ABI którzy ew. z wejściem w życie nowych przepisów mają zostać IOD – zauważa Bogacewicz.
Białostocki magistrat wskazuje, że RODO nie traktuje inaczej urzędów lub samorządów niż przedsiębiorców. Istotą jest odpowiedni dobór środków ochrony do zagrożeń i umiejętność wykazania przestrzegania zasad przetwarzania określonych w RODO. Ponadto przy ocenie poprawności przetwarzania, oprócz RODO, należy brać pod uwagę przepisy szczególne lub tzw. branżowe, które faktycznie określają jakie dane i w jakim zakresie można przetwarzać. Czasem określają one również środki ochrony, do których obecni administratorzy są zobligowani.
Z uwagi na wciąż brakujący w krajowym porządku prawnym aktu rangi ustawowej, wdrążający RODO) pozostaje mieć nadzieje, że środki podjęte przez urzędników spełnią odpowiednie wymogi unijne.
SONDA. Jak do RODO przygotowane są urzędy samorządowe w kraju
Przemysław Cienkowski, kierownik Referatu Zarządzania Dokumentacją i Bezpieczeństwa Informacji UM Piotrków Trybunalski
Kwestia ochrony baz danych i ogólnie obiegu dokumentacji w urzędzie a także kwestia doręczeń jest standaryzowana w oparciu o normę ISO 27001. Urząd jest użytkownikiem systemu klasy EZD (Elektroniczne Zarządzanie Dokumentacją) autorstwa Podlaskiego Urzędu Wojewódzkiego oraz innych systemów dziedzinowych wykorzystywanych do realizacji wielu różnych usług.Wspomniane systemy stosowane są od laty i nieustannie sprawdzane. Wydaje się nam, że jest to dostateczna gwarancja spełnienia kryteriów ochrony danych.
Anna Iwanowska UM w Gdańsku
Pomiędzy administracją a firmami nie ma znaczących różnic. RODO traktuje wszystkich praktycznie tak samo. Istnieją tylko pewne wyjątki - np. dla organów publicznych RODO ogranicza możliwość wskazywania prawnie uzasadnionego interes administratora jako podstawy prawnej przetwarzania danych osobowych. W samorządach musimy zwrócić szczególną uwagę na prawidłowe wykonywanie obowiązku informacyjnego wobec osób, których dane zbieramy. Konieczność stosowania RODO będzie dobrą okazją do przeglądu procesów, w których zawarte są dane osobowe. W tym przypadku ich kształtowanie musi umożliwiać zachowania uniwersalnych parametrów bezpieczeństwa informacji - poufności, integralności, dostępności dla odpowiednich osób i rozliczności w odniesieniu do danych osobowych. W praktyce znajduje to odzwierciedlenie np. w szerokim stosowaniu szyfrowania dla danych osobowych lub rygorystycznego podejścia do tzw. polityki czystego biurka.
Witold Wołczyk rzecznik prasowy, Urząd Miejski w Przemyślu
Naszym zdaniem w przypadku wprowadzania RODO samorządy powinny kłaść szczególny nacisk na dobre wyszkolenie, wiedzę i doświadczenie swoich pracowników. Jest to ważne, aby uniknąć sytuacji postawienia zarzutu niezgodnego z prawem przetwarzania danych osobowych, a w konsekwencji narażenia się na kary administracyjne lub roszczenia odszkodowawcze. Jednak obawy dotyczące wprowadzenia RODO nie różnią się od tych, które towarzyszą zawsze pojawieniu się nowych przepisów, a w konsekwencji umiejętności ich właściwego zastosowania. Zobaczymy także, jak będzie się kształtować orzecznictwo w zakresie ochrony danych osobowych. Ponieważ w naszym urzędzie funkcjonował i funkcjonuje administrator bezpieczeństwa informacji oraz wprowadzono odpowiednio: politykę bezpieczeństwa w zakresie przetwarzania danych osobowych oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a także inne wymagane prawem procedury uważamy, że jesteśmy dobrze przygotowani do wprowadzenia przepisów RODO. Nie przewidujemy znaczących zmian w dotychczasowym obiegu dokumentów oraz wprowadzania szczególnych procedur z tym związanych, co nie oznacza, że obecnie obowiązujące nie będą stale nadzorowane i doskonalone.