Rejestry mieszkańców, monitoring wizyjny, zasoby BIP oraz stron internetowych urzędów – w tych obszarach samorządowcy mieli problemy ze stosowaniem ogólnego rozporządzenia o ochronie danych osobowych (RODO). Mimo to po roku jego obowiązywania bilans dla jednostek samorządu terytorialnego (JST) wypada pozytywnie.
W najbliższym czasie administratorzy w JST powinni inwestować w edukację personelu (w tym kierownictwa) z zakresu ochrony danych osobowych, a także rozważyć tworzenie kodeksów postępowań.
Takie wnioski, jak informuje Urząd Ochrony Danych Osobowych, płyną z konferencji podsumowującej pierwszy rok obowiązywania RODO w JST, która odbyła się 10 czerwca 2019 r. w Sejmie. Zorganizowali ją Urząd Ochrony Danych Osobowych, Sejmowa Komisja Samorządu Terytorialnego i Polityki Regionalnej oraz Narodowy Instytut Samorządu Terytorialnego.
Monika Krasińska, dyrektor Zespołu ds. Sektora Publicznego w UODO podsumowała kontrole, które w minionym czasie przeprowadzono w jednostkach samorządu terytorialnego. Objęły one rejestr mieszkańców, monitoring miejski oraz zasoby BIP i stron internetowych.
Kontrole ujawniły różne problemy. Gdy chodzi o rejestr mieszkańców, wiele samorządów dostosowało go do zreformowanych przepisów, choć stwierdzono pewne nieprawidłowości np. w obszarze budowania rejestru, ponadto nie wszyscy odbiorcy danych są identyfikowani, co znajduje swój wyraz w niepełnych klauzulach informacyjnych czy nieuzupełnionym rejestrze czynności przetwarzania.
Jak pokazują ustalenia UODO w rejestrze mieszkańców nie zawsze w pełni jest dokumentowana czynność związana z udostępnianiem danych osobowych, jest to widoczne np. w związku z udostępnianiem rejestru z archiwum zakładowego. Ponadto nie zawsze są zawierane umowy powierzenia, gdy określone systemy są obsługiwane przez podmioty zewnętrzne.
Z kolei kontrole dotyczące monitoringu wizyjnego ujawniły brak dokonania oceny skutków dla ochrony danych osobowych. Samorządowcom trudność sprawiało także właściwe spełniane obowiązku informacyjnego np. o zasadach prowadzenia monitoringu. Skutkuje to wzrostem skarg kierowanych na sektor samorządu terytorialnego w tym zakresie.
Monika Krasińska zwróciła też uwagę na zmiany w obszarze monitoringu wizyjnego, jakie nastąpiły 6 lutego br., a za sprawą których kiedy straże gminne uzyskały status odrębnego administratora danych. W jej ocenie potrzebne jest podjęcie próby umiejscowienia straży gminnych wraz z ich zadaniami w strukturze zarządzania danymi osobowymi.
Z niewłaściwym zarządzaniem danymi osobowymi i ich ochroną, co wykazały kontrole, mamy do czynienia w Biuletynie Informacji Publicznej. Szczególnie kłopotliwy okazał się brak wytycznych wobec okresu przechowywania danych w BIP-ach. W związku z tym przez wiele lat uznawano, że informacja raz tam przekazana ma prawo w niej funkcjonować wieczyście, a nie jest to zgodne z przepisami o ochronie danych osobowych.
Inne problemy związane z BIP, które ujawniły kontrole, to m.in. przekazywanie danych osobowych w nadmiernym zakresie, bez niewłaściwego procesu anonimizacji danych, brak procedur usuwania informacji.
