- Z zadowoleniem obserwuję, że świadomość organów administracji publicznej, w tym jednostek samorządu terytorialnego, co do zmian w systemie ochrony danych osobowych jest duża. – mówi dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO).
Dziennik Warto Wiedzieć: Jak GIODO ocenia stan przygotowania administracji publicznej, samorządowej do RODO?
Edyta Bielak-Jomaa: Choć dostosowanie się do nowych przepisów harmonizujących system ochrony danych osobowych w Unii Europejskiej dla wszystkich jest wyzwaniem, to jak sądzę organom administracji publicznej powinno być łatwiej dostosować się do nadchodzących zmian. Instytucje z tego sektora co do zasady znały i stosowały się do podstawowych zasad w tym zakresie określonych w ustawie o ochronie danych osobowych. Jeszcze szybciej nowym wyzwaniom sprostają te z nich, które już obecnie z dużą troską i dbałością podchodziły do realizacji obowiązków związanych z ochroną danych osobowych. Warto bowiem pamiętać, że ogólne rozporządzenie o ochronie danych osobowych (RODO) nie zmienia w sposób zasadniczy podstaw prawnych czy reguł przetwarzania danych osobowych. Dostosowując przepisy prawa do wyzwań technologicznych XXI wieku, rewolucjonizuje jedynie podejście do ochrony danych. Wyraża się to m.in. tym, iż administratorzy danych, czyli podmioty decydujące o celach i środkach przetwarzania danych, zyskują większą samodzielność i elastyczność w działaniu. Mając wyznaczone podstawowe cele, do ich osiągnięcia mogą zmierzać różnymi, dogodnymi dla siebie drogami.
Z zadowoleniem obserwuję, że świadomość organów administracji publicznej, w tym jednostek samorządu terytorialnego, co do zmian w systemie ochrony danych osobowych jest duża. Jednak to, jak podmioty sektora publicznego wdrożą zasady RODO w praktyce, będzie można powiedzieć dopiero po 25 maja 2018 r., gdy już zaczniemy stosować nowe przepisy. Niemniej jestem przekonana, że samorządy poradzą sobie z wyzwaniami, jakie stawia przed nimi RODO.
Wszystkich, którzy chcą sprawdzić stan swojej gotowości, zachęcam, by jeszcze teraz, niemal na miesiąc przed „godziną zero”, przeprowadzili wewnętrzny audyt, dokonali przeglądu procesów, działań i procedur związanych z przetwarzaniem danych osobowych, by – jeśli okaże się to niezbędne - mogli dokonać ostatnich korekt swoich działań mających na celu osiągnięcie pełnej zgodności z RODO. Pomocna w tym zakresie może być przygotowana przez nas publikacja pt. „Czy jesteś gotowy na RODO?”, zwracającą uwagę na najważniejsze zagadnienia i obszary, w których następować będą znaczące zmiany. Jest ona dostępna na stronie internetowej urzędu (pod linkiem www.giodo.gov.pl). Zachęcam, by poddać się temu sprawdzianowi i ocenić swoją gotowość do stosowania RODO.
Dziennik Warto Wiedzieć: Pracownicy samorządowi często zadają pytanie o relacje pomiędzy przepisami RODO a ustawą o dostępie do informacji publicznej. W projektowanej ustawie o jawności życia publicznego planuje się rozszerzenie zakresu jawności danych o osobach fizycznych. Jakie jest stanowisko GIODO w tej sprawie?
Edyta Bielak-Jomaa: Projekt ustawy o jawności życia publicznego nie został nam przesłany do zaopiniowania, ale biorąc pod uwagę regulowaną w nim materię, z własnej inicjatywy zgłosiliśmy do niego wiele uwag. Można się z nimi zapoznać na naszej stronie internetowej (są dostępne pod adresem www.giodo.gov.pl).
Nasze zastrzeżenia dotyczą m.in. propozycji przepisów umożliwiających udostępnianie informacji zawartych w aktach postępowań administracyjnych w trybie dostępu do informacji publicznej. Rozwiązanie to stanowi poważną ingerencję w konstytucyjnie gwarantowane prawo do ochrony prywatności oraz autonomii informacyjnej jednostki.
Ponadto w opinii GIODO, projektowane przepisy za bardzo rozszerzają krąg osób zobligowanych do składania oświadczeń majątkowych. Przyjęcie ich w proponowanym kształcie oznaczać będzie ograniczenie praw gwarantowanych każdemu z nas przez Konstytucję RP.
Przedstawione przez GIODO uwagi dotyczą również rozwiązań dotyczących zasad i trybu prowadzenia lobbingu w pracach nad projektami aktów normatywnych i dokumentów rządowych.
To, co według mnie należy ocenić pozytywnie, to propozycja ustawowego określenia okresu, przez który w Biuletynie Informacji Publicznej (BIP) mają być publikowane oświadczenia majątkowe osób zobowiązanych do ich składania. To bardzo ważne, gdyż do tej pory istniała w tym zakresie luka prawna, mimo że sądy administracyjne wielokrotnie wskazywały w swoich orzeczeniach, iż Biuletyn Informacji Publicznej powinien być miejscem, w którym informujemy o różnego rodzaju działaniach mających związek z szeroko pojmowaną sferą życia publicznego, ale nie może być to przestrzeń bezterminowego przechowywania danych osobowych. W projekcie zaproponowano, by czas publikacji oświadczeń majątkowych w BIP wynosił 6 lat, lecz GIODO w swoich stanowisku wskazywał, że okres ten należałoby jeszcze poddać analizie, tym bardziej, że projektodawca nie uzasadnił dlaczego okres ten ma wynosić 6 lat. Dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie powinny być dłużej przechowywane niż to jest niezbędne do osiągnięcia celu przetwarzania. Tymczasem upublicznianie oświadczeń majątkowych przez 6 lat stanowi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w tym przypadku prawa do prywatności
W tym kontekście chciałabym zwrócić uwagę również na to, że obecnie obowiązujące przepisy dotyczące udostępniania informacji publicznej w BIP odnoszą się do obowiązku publikacji danych osobowych pracowników wytwarzających oraz zamieszczających informacje w BIP. Nie ma natomiast żadnych przepisów, które regulowałyby chociażby retencję tych danych, czyli to, jak długo mają być one przetwarzane. Wydaje się, że RODO, zgodnie z którym każdy z nas, a więc także pracownik, już w momencie udostępniania swoich danych ma prawo wiedzieć, jak długo dane te będą wykorzystywane i po jakim czasie usuwane, stopniowo wymusi zmianę rozwiązań w tym zakresie.
Dziennik Warto Wiedzieć: Czy zdaniem GIODO kodeksy postępowań mają szansę zaistnieć w administracji publicznej?
Edyta Bielak-Jomaa: Tak, jak najbardziej. Idea tworzenia kodeksów postępowania (obecnie nazywanych kodeksami dobrych praktyk) nie jest nowa. W Polsce GIODO od dawna zachęcał do ich tworzenia i myślę, że to był dobry kierunek. Niemniej tego typu dokumenty były przyjmowane przez podmioty z sektora prywatnego. Ogólne rozporządzenie o ochronie danych nadaje im jeszcze większą rangę, wskazując m.in., że muszą być zatwierdzone przez organy nadzorcze. M.in. dzięki temu kodeksy, ze znanego dotąd narzędzia wizerunkowo-promocyjnego, staną się instrumentem o charakterze prawnym. Stosowanie zatwierdzonych kodeksów postępowania będzie umożliwiało stwierdzenie, że administrator danych wywiązuje się z ciążących na nim obowiązków.
Dokumenty te mają jeszcze jedną istotną funkcję - ich celem jest pomoc we właściwym stosowaniu przepisów RODO, doprecyzowanie jego postanowień z uwzględnieniem specyfiki danego sektora. Mogą być więc pewnego rodzaju instrukcjami działania. Podmioty przyjmujące kodeks otrzymują jasne i zrozumiałe wytyczne dotyczące procesów przetwarzania danych, np. sposobu dokonywania operacji zbierania danych czy spełniania różnych obowiązków, choćby informacyjnych. Dotyczyć to może zwłaszcza tych przypadków, kiedy wymogi dotyczące ochrony danych nie są wystarczająco szczegółowe i wymagają doprecyzowania, bądź kiedy są uszczegóławiane na mocy innych przepisów.
Według mnie, przyjmowanie kodeksów postępowania przez podmioty z sektora publicznego mogłoby stanowić dla nich wsparcie w zapewnieniu zgodności ich działań z RODO. Mogłyby sprawdzić się m.in. w przypadku szkół, domów kultury czy ośrodków pomocy społecznej. Są też obszary, w których również sama administracja samorządowa może być adresatem norm zawartych w takich dokumentach. Urzędy gmin realizują przecież projekty otwartych danych, ponownego wykorzystania czy też dostępu do informacji publicznej. W takich sytuacjach pojawia się przykładowo pytanie: jak mają wyglądać mechanizmy anonimizacji czy pseudonimizacji. Stworzenie takich standardów może odbyć się na gruncie kodeksu.
Musi to być jednak inicjatywa oddolna. Kodeks musi być bowiem stworzony przez zrzeszenie lub organizację reprezentującą jakąś grupę podmiotów, które później będą z niego korzystać. Nie może więc opracować go np. jedna gmina. To jest zadanie dla organizacji zrzeszających jednostki samorządowe bądź organizacji, które skupiają podmioty o jednorodnym charakterze, np. jednostki pomocy społecznej czy muzea. Kodeks ma przecież służyć tworzeniu standardu branżowego, a nie ustalaniu reguł obowiązujących w przypadku indywidualnego podmiotu.
Dziennik Warto Wiedzieć: Serdecznie dziękuję za rozmowę.
Komentarze