RODO w samorządach - nieźle, ale przydałyby się kodeksy postępowania

Samorządy mają pewne problemy z rejestrami mieszkańców, monitoringiem wizyjnym, zasobami BIP i stronami internetowymi urzędów, ale ogólnie nieźle sobie poradziły z wdrożeniem RODO - wynika z kontroli przeprowadzonych przez Urząd Ochrony Danych Osobowych.

Publikacja: 12.06.2019 13:27

Gminy mają problemy z monitoringiem wizyjnym w związku z RODO

Foto: Adobe Stock

dgk

W najbliższym czasie administratorzy w JST powinni inwestować w edukację personelu (w tym kierownictwa) z zakresu ochrony danych osobowych, a także rozważyć tworzenie kodeksów postępowań.

Takie wnioski płyną z konferencji podsumowującej pierwszy rok obowiązywania RODO w JST, która odbyła się 10 czerwca 2019 r. w Warszawie. Zorganizowali ją Urząd Ochrony Danych Osobowych, Sejmowa Komisja Samorządu Terytorialnego i Polityki Regionalnej oraz Narodowy Instytut Samorządu Terytorialnego.

Kontrole UODO ujawniły różne problemy. W przypadku rejestrów mieszkańców wiele samorządów dostosowało go do zreformowanych przepisów, choć stwierdzono pewne nieprawidłowości np. w obszarze budowania rejestru, ponadto nie wszyscy odbiorcy danych są identyfikowani, co znajduje swój wyraz w niepełnych klauzulach informacyjnych czy nieuzupełnionym rejestrze czynności przetwarzania.

Jak pokazują ustalenia UODO, w rejestrze mieszkańców nie zawsze w pełni jest dokumentowana czynność związana z udostępnianiem danych osobowych, jest to widoczne np. w związku z udostępnianiem rejestru z archiwum zakładowego. Nie zawsze też są zawierane umowy powierzenia, gdy określone systemy są obsługiwane przez podmioty zewnętrzne.

Z kolei kontrole dotyczące monitoringu wizyjnego ujawniły brak dokonania oceny skutków dla ochrony danych osobowych. Samorządowcom trudność sprawiało także właściwe spełniane obowiązku informacyjnego np. o zasadach prowadzenia monitoringu. Skutkuje to wzrostem skarg kierowanych na sektor samorządu terytorialnego w tym zakresie.

Monika Krasińska, dyrektor Zespołu ds. Sektora Publicznego w UODO, zwróciła też uwagę na zmiany w obszarze monitoringu wizyjnego, jakie nastąpiły 6 lutego br., a za sprawą których kiedy straże gminne uzyskały status odrębnego administratora danych. W jej ocenie potrzebne jest podjęcie próby umiejscowienia straży gminnych wraz z ich zadaniami w strukturze zarządzania danymi osobowymi.

Kontrole wykazały, że niewłaściwe zarządzanie danymi osobowymi i ich ochrona mają miejsce w Biuletynie Informacji Publicznej. Szczególnie kłopotliwy okazał się brak wytycznych wobec okresu przechowywania danych w BIP. W związku z tym przez wiele lat uznawano, że informacja raz tam przekazana ma prawo w niej funkcjonować wieczyście, a nie jest to zgodne z przepisami o ochronie danych osobowych.

Inne problemy związane z BIP, które ujawniły kontrole, to m.in. przekazywanie danych osobowych w nadmiernym zakresie, bez niewłaściwego procesu anonimizacji danych, brak procedur usuwania informacji.

Piotr Drobek, dyrektor Zespołu Analiz i Strategii UODO zachęca jednostki samorządu terytorialnego do tworzenia kodeksów postępowań przez zrzeszające je organizacje. Kodeksy mogą dotyczyć realizacji wielu zadań publicznych, np. oświaty, pomocy społecznej, wykorzystania środków unijnych. Mogą też podpowiadać, jak poprawnie tworzyć klauzule informacyjne.

- Obecnie kodeksy tworzone są jedynie przez sektor prywatny, lecz w dwóch przypadkach, które dotyczą sektora zdrowia, powstają kodeksy, do których będą mogły przystąpić także publiczne jednostki - powiedział Piotr Drobek.