Jak jednostki samorządu terytorialnego radzą sobie z RODO?

Rejestry mieszkańców, monitoring wizyjny, zasoby BIP oraz stron internetowych urzędów – w tych obszarach samorządowcy mieli problemy ze stosowaniem ogólnego rozporządzenia o ochronie danych osobowych (RODO). Mimo to po roku jego obowiązywania bilans dla jednostek samorządu terytorialnego (JST) wypada pozytywnie.

W najbliższym czasie administratorzy w JST powinni inwestować w edukację personelu (w tym kierownictwa) z zakresu ochrony danych osobowych, a także rozważyć tworzenie kodeksów postępowań.

Takie wnioski płyną z konferencji podsumowującej pierwszy rok obowiązywania RODO w JST, która odbyła się 10 czerwca 2019 r. w Warszawie. Zorganizowali ją Urząd Ochrony Danych Osobowych, Sejmowa Komisja Samorządu Terytorialnego i Polityki Regionalnej oraz Narodowy Instytut Samorządu Terytorialnego.

Wnioski z kontroli

Monika Krasińska, dyrektor Zespołu ds. Sektora Publicznego w UODO podsumowała kontrole, które w minionym czasie przeprowadzono w jednostkach samorządu terytorialnego. Objęły one rejestr mieszkańców, monitoring miejski oraz zasoby BIP i stron internetowych.

Wspomniane kontrole ujawniły różne problemy. Gdy chodzi o rejestr mieszkańców, wiele samorządów dostosowało go do zreformowanych przepisów, choć stwierdzono pewne nieprawidłowości np. w obszarze budowania rejestru, ponadto nie wszyscy odbiorcy danych są identyfikowani, co znajduje swój wyraz w niepełnych klauzulach informacyjnych czy nieuzupełnionym rejestrze czynności przetwarzania.

Jak pokazują ustalenia UODO w rejestrze mieszkańców nie zawsze w pełni jest dokumentowana czynność związana z udostępnianiem danych osobowych, jest to widoczne np. w związku z udostępnianiem rejestru z archiwum zakładowego. Ponadto nie zawsze są zawierane umowy powierzenia, gdy określone systemy są obsługiwane przez podmioty zewnętrzne.

Z kolei kontrole dotyczące monitoringu wizyjnego ujawniły brak dokonania oceny skutków dla ochrony danych osobowych. Samorządowcom trudność sprawiało także właściwe spełniane obowiązku informacyjnego np. o zasadach prowadzenia monitoringu. Skutkuje to wzrostem skarg kierowanych na sektor samorządu terytorialnego w tym zakresie.

Monika Krasińska zwróciła też uwagę na zmiany w obszarze monitoringu wizyjnego, jakie nastąpiły 6 lutego br., a za sprawą których kiedy straże gminne uzyskały status odrębnego administratora danych. W jej ocenie potrzebne jest podjęcie próby umiejscowienia straży gminnych wraz z ich zadaniami w strukturze zarządzania danymi osobowymi.

Z niewłaściwym zarządzaniem danymi osobowymi i ich ochroną, co wykazały kontrole, mamy do czynienia w Biuletynie Informacji Publicznej. Szczególnie kłopotliwy okazał się brak wytycznych wobec okresu przechowywania danych w BIP-ach. W związku z tym przez wiele lat uznawano, że informacja raz tam przekazana ma prawo w niej funkcjonować wieczyście, a nie jest to zgodne z przepisami o ochronie danych osobowych.

Inne problemy związane z BIP, które ujawniły kontrole, to m.in. przekazywanie danych osobowych w nadmiernym zakresie, bez niewłaściwego procesu anonimizacji danych, brak procedur usuwania informacji.

Warto tworzyć kodeksy postępowań

Piotr Drobek, dyrektor Zespołu Analiz i Strategii zachęca jednostki samorządu terytorialnego do tworzenia kodeksów postępowań przez zrzeszające je organizacje. W jego ocenie to jeden ze sposób na zapewnienie przez samorządowców zgodności działań z obowiązującymi przepisami o ochronie danych.

Kodeksy mogą dotyczyć realizacji wielu zadań publicznych, np. oświaty, pomocy społecznej, wykorzystania środków unijnych. Mogą też podpowiadać, jak poprawnie tworzyć klauzule informacyjne.

Obecnie, jak podał Piotr Drobek, kodeksy tworzone są jedynie przez sektor prywatny. Przy czym w dwóch przypadkach, które dotyczą sektora zdrowia, powstają kodeksy, do których będą mogły przystąpić także publiczne jednostki.