W naszym kraju za monitorowanie stosowania przepisów o ochronie danych osobowych odpowiada publiczny organ nadzorczy – Urząd Ochrony Danych Osobowych. Każdego tygodnia na stronie UODO znajdujemy nowe informacje, wytyczne, wzory dokumentów, które mają ułatwić prawidłowe przetwarzanie danych osobowych.

Zapraszamy do cotygodniowego przeglądu aktualności Urzędu Ochrony Danych Osobowych:

Przyjęcie RODO w jednostkach samorządu terytorialnego.

10 czerwca w Warszawie odbyła się konferencja podsumowująca pierwszy rok obowiązywania RODO w jednostkach samorządu terytorialnego. Omówione zostały wnioski z przeprowadzonych przez UODO kontroli. W kilku obszarach pojawiły się problemy, nad którymi samorządowcy muszą popracować:

  • nieprawidłowości w rejestrze mieszkańców. Kontrole wykazały problemy przy tworzeniu rejestru – nie wszyscy odbiorcy danych są zidentyfikowani. W konsekwencji problemem stają się niepełne klauzule informacyjne oraz brak informacji w rejestrze czynności przetwarzania. Zauważono również, że nie zostały zawarte umowy powierzenia przetwarzania danych osobowych z wszystkim podmiotami zewnętrznym;
  • kolejne trudności pojawiły się w obszarze dotyczącym monitoringu wizyjnego. Z uwagi na charakter tego typu działań, okazało się, że w kontrolowanych jednostkach nie została przeprowadzona ocena skutków dla ochrony danych. Administratorzy nie wywiązali się właściwie z obowiązku poinformowania osób, których dane dotyczą. Przełożyło się to na wzrost skarg kierowanych na sektor samorządu terytorialnego,
  • w ramach przeprowadzonych kontroli, nieprawidłowości stwierdzono także w zarządzaniu danymi osobowymi i ich ochroną w Biuletynie Informacji Publicznej. Kwestią problematyczną okazało się ustalenie okresu przechowywania danych. Wcześniej (przed rozpoczęciem stosowania przepisów RODO), uznawano, że informacje raz umieszczone w BIP mają prawo funkcjonować tam bez zmian i okresu retencji danych. Obecnie jest to niezgodne z przepisami i wymaga zmiany.

Administratorzy powinni zwrócić szczególną uwagę na obszary, w których stwierdzono nieprawidłowości, a także rozważyć dalszą edukację personelu (na wszystkich szczeblach) w zakresie ochrony danych osobowych. Ze strony UODO natomiast pojawiły się sygnały, że dobrą praktyką byłoby tworzenie kodeksów postępowań.

IX edycja programu UODO dla szkół „Twoje dane – Twoja sprawa

Zakończyła się IX edycja ogólnopolskiego programu edukacyjnego “Twoje dane – Twoja sprawa. Skuteczna ochrona danych osobowych”. Z tej okazji 11 czerwca w siedzibie Ministerstwa Edukacji Narodowej odbyło się seminarium podsumowujące. Warto nadmienić, że w tym roku szkolnym do udziału w programie zgłosiła się rekordowa liczba placówek oświatowych, uczniów i nauczycieli. Jest to zapewne wynikiem rosnącej świadomości społeczeństwa na obowiązywanie nowych przepisów o ochronie danych osobowych.
W tegorocznej edycji wzięło udział ponad 45 000 uczniów i około 2000 nauczycieli z 335 szkół podstawowych i ponadpodstawowych oraz ośrodków szkolenia nauczycieli. 3636 nauczycieli skorzystało ze szkoleń oferowanych w ramach programu. W ramach programu wspólnie z UODO zostało zorganizowanych 1139 działań edukacyjnych.
Podczas seminarium, wręczono także nagrody laureatom dwóch konkursów mających na celu upowszechnienie wiedzy na temat prywatności i ochrony danych osobowych:

  • (NIE)bezpieczne dane osobowe” – konkurs, w którym uczniowie prezentowali w formie opowiadania lub pracy plastycznej sposoby na ochronę danych osobowych. Najlepsza okazałą się praca plastyczna Ksawerego Hamelusza ze Szkoły Podstawowej nr 11 w Zamościu.
  • Program sprawnościowy ODO”, – w placówkach powstały koła ochrony danych osobowych (KODO), w których podejmowane były inicjatywy związane z odpowiedzialnym podejściem do tematu ochrony danych osobowych.

Uczestnicy seminarium, mieli możliwość obejrzenia wszystkich nagrodzonych prac i inicjatyw. Szkoły otrzymały dyplomy, a najlepszym przyznano tytuł “Znawca RODO”. Uczniowie natomiast otrzymali dyplom “Młody Inspektor Ochrony Danych

Zastępca inspektora ochrony danych – zgłaszanie i odwoływanie – nowe formularze UODO

Ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO, do ustawy o ochronie danych osobowych, dodano art. 11a przewidujący możliwość wyznaczania zastępcy inspektora ochrony danych. Administrator danych, który wyznaczy zastępcę inspektora ochrony danych musi powiadomić o tym Prezesa Urzędu Ochrony Danych Osobowych.

UODO dla IOD

Na stronie UODO, w zakładce „Inspektor Ochrony Danych” w sekcji „Wyznaczenie i status IOD” pojawiły się kolejne zagadnienia. Nowe pytania i odpowiedzi dotyczą następujących kwestii:

Do którego organu nadzorczego należy kierować zawiadomienie o wyznaczeniu IOD w przypadku podmiotów nieposiadających jednostki organizacyjnej w UE?

Urząd stoi na stanowisku, że RODO może mieć zastosowanie również do podmiotów (zarówno administratorów danych jak i podmiotów przetwarzających) nieposiadających jednostki organizacyjnej w UE. Dotyczy to sytuacji, w których podmiot prowadzi czynności przetwarzania wiążące się z:

  • oferowaniem towarów lub usług osobom, których dane dotyczą, na terenie UE; lub
  • monitorowaniem zachowania osób, których dane dotyczą (w sytuacji, kiedy do tych zachowań dochodzi na terenie UE)

Takie podmioty mają obowiązek wyznaczenia swojego przedstawiciela w UE. Zgłoszenie inspektora ochrony danych powinno być kierowane do organu nadzorczego w państwie członkowskim, w którym został wyznaczony przedstawiciel administratora W UE.

Czy funkcję IOD w określonym podmiocie może pełnić osoba spokrewniona z osobami, które kierują lub zarządzają tym podmiotem?

Odnosząc się do przepisów prawa, nie jest to zakazane. Pamiętajmy jednak, że jeśli taka sytuacja ma miejsce, należy dokładnie przeanalizować oraz dokonać oceny, czy relacje rodzinne nie będą miały wpływu na pracę inspektora. Zgodnie z unijnym rozporządzeniem o ochronie danych osobowych, podczas wykonywania swoich obowiązków IOD powinien być niezależny i nie ulegać żadnym naciskom, czy opiniom innych osób. Jeśli w swojej pracy obowiązki inspektora i jego relacje rodzinne przyczyniłyby się do konfliktu interesów, należałoby wyznaczyć inną osobę do pełnienia tej funkcji.

Czy IOD jest zobowiązany odbyć szkolenie dla IOD oraz posiadać certyfikat potwierdzający jego odbycie?

Przepisy rozporządzenia unijnego RODO (art. 37 ust. 5) mówią nam że IOD „wyznaczany jest na podstawie kwalifikacji zawodowych (…) wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych (…)”.
Inspektor ochrony danych, żeby móc wykonywać swoje obowiązki, musi wykazać się posiadaniem odpowiedniej wiedzy merytorycznej oraz doświadczeniem. Nie ma wymogu dotyczącego posiadania certyfikatu lub dyplomów poświadczających niezbędną wiedzę. Niemniej jednak dokumenty te mogą być ważnym kryterium kwalifikacyjnym i dowodowym, przemawiającym na korzyść osoby wyznaczonej do pełnienia tej funkcji.

W środowisku specjalistów zajmujących się RODO, znajdziemy mnóstwo osób, które nie mają wykształcenia prawniczego, jednakże, przez lata zajmowali się ochroną bezpieczeństwa informacji oraz pełnili funkcję ABI (odpowiednika IOD, przed rozpoczęciem stosowania przepisów rozporządzenia) w swojej organizacji. Osoby te, często pełniąc dzisiaj funkcję IOD, z łatwością mogłyby wykazać się odpowiednim poziomem wiedzy i doświadczenia, bez posiadania certyfikatu ukończenia szkolenia.

Czy straż gminna (miejska), która jest umiejscowiona w strukturze urzędu gminy jest zobowiązana do wyznaczenia IOD na podstawie ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości?

Przepisy prawa stanowią, że w przypadku opisanym powyżej, komendant straży gminnej i miejskiej jest administratorem danych osobowych. Przepis art. 46 ust. 1 tej ustawy, wskazuje że administrator wyznacza inspektora ochrony danych. Komendanci straży miejskiej i gminnej są zatem zobowiązani do wyznaczenia inspektora ochrony danych bez względu na umiejscowienie jednostek im podległych.