RODO w administracji publicznej
RODO w administracji – każda branża, każdy sektor, w którym przetwarzane są w bieżącej działalności dane osobowe ma swoją specyfikę. Swoje uwarunkowania, potrzeby ale i oczekiwania dotyczące zakresu potrzebnego wsparcia, czy informacji jakie powinny zostać przekazane np. w trakcie szkolenia dotyczącego wdrożenia RODO. Czasami, wśród uczestników szkoleń, te różnice w podejściu i rozumieniu co oznacza dla nich RODO są bardzo widoczne. Dziś o tym co wdrożenie RODO oznacza dla administracji publicznej.
Szczególne wymogi i traktowanie administratora (danych osobowych)
Nie ma równości podmiotów wobec prawa. Nie ma i nie było. Wydaje się, że również w kontekście podejścia i wymogów ogólnego rozporządzenia w sprawie ochrony danych podmioty publiczne w kilku przypadkach traktowane są wyjątkowo. Po pierwsze nie zawsze uznane będą za odbiorcę danych. Motyw 31 RODO stanowi, że:
organy publiczne, którym ujawnia się dane osobowe w związku z ich prawnym obowiązkiem sprawowania funkcji publicznej (…), nie powinny być traktowane jako odbiorcy, jeżeli otrzymane przez nie dane osobowe są im niezbędne do przeprowadzenia określonego postępowania w interesie ogólnym zgodnie z prawem Unii lub prawem państwa członkowskiego.
Dlaczego o tym wspominam? Bo jednym z obowiązków informacyjnych jakie administrator danych musi spełnić, w oparciu o art. 13 ogólnego rozporządzenia jest informowanie o odbiorcach danych. Czy oznacza, to że w pewnych przypadkach, jeśli nasze dane zostaną przekazane organom publicznym, w związku z prowadzonym postępowaniem, możemy się o tym nie dowiedzieć? Może tak się stać. Ustawodawca krajowy zdecydował się ten aspekt doprecyzować. Między innymi w art. 3 u.o.d.o. z dnia 10 maja 2018 r. (Dz.U.2018, poz. 1000) wskazał, że:
Administrator wykonujący zadanie publiczne nie przekazuje informacji,
o których mowa w art. 13 ust. 3 rozporządzenia 2016/679, (o celu przetwarzania) jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów.
Nie zawsze więc dowiemy się od organu publicznego, który pozyskał nasze dane pośrednio, o faktycznym celu przetwarzania, i w niektórych przypadkach wydaje się to uzasadnione. Owszem będziemy mogli złożyć wniosek o wskazanie podstawy nie przekazania informacji (art. 3 ust. 3).
RODO w administracji publicznej, a współadministrowanie
Specyfiką działalności organów publicznych jest również to, że część zadań realizują poprzez współdziałanie a ich kompetencje określone są w przepisach prawa. Wydaje się, że to również dla nich kluczowe będzie odpowiednie zrozumienie i wykorzystanie pojęcia „współadministrowanie” a więc taka sytuacja, w której 2 lub więcej administratorów wspólnie ustala sposoby i cele przetwarzania (art. 26 RODO). To proces, w którym nie następuje klasyczna umowa powierzenia ani udostępnienie danych. Dlatego też RODO mówi o porozumieniu między współadministratorami. Porozumienie takie pozwoli, w drodze wspólnych ustaleń, ustalić zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. Podniesie więc bezpieczeństwo prawne podmiotu publicznego – a więc ten obszar bezpieczeństwa, który często jest marginalizowany.
Postępowanie na styku dóbr osobistych i informacji publicznej
Przetwarzanie danych osobowych w administracji publicznej wiąże się często z potrzebą rozstrzygnięcia, które dobra lub cele powinny stanowić priorytet działania. Nie jest to problem nowy i tak naprawdę RODO nie wprowadza tu wielkiej rewolucji. Motyw 154 wskazuje, że:
rozporządzenie pozwala uwzględnić przy stosowaniu jego przepisów zasadę publicznego dostępu do dokumentów urzędowych.
Organ publiczny lub podmiot publiczny powinny móc publicznie ujawniać dane osobowe z dokumentów przez siebie przechowywanych, jeżeli takie ujawnienie jest przewidziane przepisami prawa Unii lub prawa państwa członkowskiego, któremu organ ten lub podmiot podlegają. A mamy przecież ustawę o dostępie do informacji publicznej. Jaka by nie była… obowiązuje. O tej zasadzie mówi również art. 86 RODO. Artykuł, który umieszczony został w końcowej części rozporządzenia – już za przepisami dotyczącymi kar administracyjnych… więc mógł nie przebić się w mediach.
Jeśli już mowa o karach
Ustawodawca, co w sumie nie dziwi, skorzystał z możliwości jaką daje rozporządzenie i zdywersyfikował wysokość administracyjnych kar pieniężnych, jaką nałożyć może PUOD na administratora (danych osobowych) za naruszenie zasad przetwarzania danych. To właśnie w stosunku do jednostek sektora finansów publicznych oraz instytutów badawczych i NBP ustalono górną granicę kary na kwotę 100 tyś. złotych (art. 102 ust. 1 u.o.d.o z dnia 10 maja 2018 r.). Jeszcze dalej idącą „ulgę” zastosowano wobec państwowych i samorządowych instytucji kultury. W ich przypadku kara nie przekroczy 10 tyś złotych. Życie pokaże czy wprowadzenie takiego podziału okaże się zasadne. Jak bowiem racjonalnie wyjaśnić osobom, których dane dotyczą, że w przypadku np. ujawnienia ich danych medycznych przez szpital publiczny będzie to „wycenione” inaczej, niż w przypadku, gdy przewinienia dopuści się klinika prywatna. Skutki dla pacjenta mogą być takie same.
Przepisy znowelizowane
Implementacja przepisów ogólnego rozporządzenia o ochronie danych na grunt prawa krajowego skutkowała koniecznością nie tylko wydania ustawy przedmiotowej (o ochronie danych osobowych), ale i zmiany licznych przepisów sektorowych. Kilkadziesiąt z nich znowelizowano rozdziałem 12 u.o.d.o. z dnia 10 maja 2018 r. (Dz. U. 2018, poz. 1000). Znaczna część z nich dotyczy funkcjonowania właśnie administracji publicznej. Nowelizacje nie ograniczają się tylko do zmian kosmetycznych i nazewnictwa (np. zastąpienia GIODO przez PUOD). W bardzo wielu przepisach dookreślono jednoznacznie zasady postępowania przy wymianie informacji i danych obywateli jak również wskazano, kto pełni role administratora (danych osobowych).
Dla administracji publicznej jednymi z kluczowych przepisów, których nowelizacja musiała nastąpić były te, które dają prawną możliwość stosowania przez organy publiczne monitoringu pomieszczeń oraz otoczenia budynków. Zmiany dotyczyły zarówno szkół (dodany art. 108a w ustawie prawo oświatowe) jak i samorządów gminnych, powiatowych oraz województwa. W każdej z ustaw określających zasady funkcjonowania poszczególnych szczebli samorządów dodano podstawy prawne oraz sprecyzowano zasady wykorzystania środków technicznych umożliwiających rejestrację obrazu. Określono między innymi dopuszczalny czas retencji danych (3 m-ce), obszary, których monitoring obejmować nie może (pomieszczeń sanitarnych, szatni, stołówek, palarni oraz obiektów socjalnych) oraz zasady oznaczania obiektów i stref rejestracją obrazu objętych.
RODO w administracji publicznej – wyzwania
RODO daje możliwość szczególnego traktowania administracji publicznej (np. obniżenie wysokości maksymalnych kar), z czego skrzętnie skorzystał ustawodawca. Z drugiej jednak strony nakłada też jednoznacznie na organ i podmiot publiczny obowiązek, który w odniesieniu do sektora prywatnego nie zawsze ma zastosowanie.
Obowiązek wyznaczenia Inspektora Ochrony Danych (art. 37 ust. 1a rozporządzenia). W tym przypadku furtki nie pozostawiono – IOD-ę wyznaczyć trzeba bez względu na charakter danych jakie organ przetwarza. Dlaczego piszę o tym w kategorii wyzwania, skoro doświadczenie pokazuje, że spora grupa tej kategorii podmiotów posiadała ABI przed 25 maja 2018 r.? Dlatego, że proces „dostosowania” jednostki do wymogów RODO, szczególnie tam, gdzie wcześniej „stara ustawa o ochronie danych osobowych” delikatnie mówiąc „nie do końca się przyjęła”, jest procesem wymagającym określonych kwalifikacji oraz, co równie ważne zabezpieczenia odpowiednich zasobów (np. czasowych dla IODy). Może być to trudne do zrealizowania, gdy ABI pełnił jednocześnie kilka innych funkcji w jednostce, często wykluczających możliwość łączenia obowiązków z rolą IODy.
RODO w administracji – outsourcing
Administracja publiczna nie działa sama i w próżni. Często, w celu realizacji określonych zadań potrzebuje wsparcia z zewnątrz. Klasycznym przykładem jest outsourcing usług IT. W takim przypadku kluczową sprawą będzie dobór podmiotów przetwarzających oraz właściwe powierzenie przetwarzania danych osobowych. RODO stawia w tej kwestii sprawę jasno:
administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28).
Mechanizm certyfikacji
Ryzykiem związanym z „wyszukiwaniem” takich podmiotów, jest niestety ryzyko związane z kryterium najniższej ceny… które dominuje w postępowaniach o udzielenie zamówienia publicznego. Niestety najniższa cena nie musi iść w parze z najwyższą jakością. Rozwiązaniem tego problemu może być z czasem przewidziany w RODO mechanizm certyfikacji, umożliwiający uzyskanie przez podmiot przetwarzający, producenta albo podmiot wprowadzający usługę lub produkt na rynek, oznaczenia mającego świadczyć o zgodności operacji przetwarzania z rozporządzeniem. Większość ryzyk oraz problemów jakie mogą dotknąć administrację publiczną w realizowanych procesach przetwarzania ma szansę zostać przewidziana i po części rozwiązana. RODO daje przecież możliwość wdrożenia i stosowania zatwierdzonych kodeksów postępowania. Nie ma zakazu, aby zostały one przyjęte również dla administracji publicznej. Niestety taka perspektywa na dzień dzisiejszy wydaje się jeszcze dość odległa.
