Koronawirus a rola inspektora ochrony danych osobowych

Kilka dni temu Prezes Urzędu Ochrony Danych Osobowych wskazał, że najwyższe kierownictwo organizacji podejmując decyzje dotyczące działań związanych z przetwarzaniem danych osobowych m.in. w trakcie działań związanych z panującym stanem epidemii powinno korzystać ze wsparcia powołanych u siebie inspektorów ochrony danych (dalej także IODa) tak, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem i służyło ochronie zdrowia. Już tylko ten komunikat wskazuje na ogromną odpowiedzialność spoczywającą na inspektorach ochrony danych. Jaka jest ich rola i obowiązki?

Rola inspektora ochrony danych

Czytając ogólne rozporządzenie o ochronie danych już w motywie 77 ustawodawca europejski podkreślił istotną rolę inspektora ochrony danych. To właśnie ten specjalista powinien wesprzeć swoimi wskazówkami i sugestiami administratora we wdrożeniu odpowiednich środków umożliwiających administratorowi wykazanie przestrzegania RODO, a z drugiej strony sprawne przetwarzanie danych osobowych.

Nadto, motyw 97 wskazuje, że inspektor ochrony danych to osoba dysponująca wiedzą fachową na temat prawa i praktyki w dziedzinie ochrony danych, a jego wiedza powinna być ustalana w świetle specyfiki przetwarzanych w organizacji danych osobowych oraz jej skali.

Rola inspektora ochrony danych została wskazana w art. 39 RODO oraz art. 47 ustawy Policyjnej (patrz tabela). Zadania te są szczególnie istotne ze względu na obecne wyzwania stojące przed organami państwowymi.

Czytaj także: Wpływ pandemii na ochronę danych osobowych

Jedno z zadań IODa polega na informowaniu najwyższego kierownictwa organu oraz pracowników tego organu o obowiązkach nałożonych przepisami o ochronie danych osobowych. Zadanie to można obecnie wykonać poprzez wysłanie wiadomości e-mail do wszystkich pracowników (w kopii ukrytej) z wytycznymi i zaleceniami co do postępowania z danymi osobowymi lub też w trakcie wideokonferencji. Zalecenia te w obecnej sytuacji powinny dotyczyć nieujawniania zbyt szerokiego katalogu informacji np. o osobach chorych lub poddanych kwarantannie, aby ograniczyć możliwość ich bezpośredniego czy też pośredniego zidentyfikowania.

PRZYKŁAD

Przepisy uchwalonej przez Sejm nowelizacji tarczy antykryzysowej przewidują utworzenie, na wniosek obywatela, tymczasowego profiu zaufanego poprzez przeprowadzenie procedury wideokonferencji obywatela z pracownikiem organu podczas, której dokonuje się porównania wizerunku wnioskodawcy (obywatela) udostępnianego przez niego w czasie rzeczywistym za pośrednictwem transmisji audiowizualnej z wizerunkiem tego wnioskodawcy zawartym w Rejestrze Dowodów Osobistych (art. 20ca ust. 3 ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne - DzU z 2020 r. poz. 346). W tym zakresie inspektor ochrony danych powinien przewidzieć ustawienie monitorów pracowników w takich sposób, aby osoby nieuprawnione nie mogły zapoznać się z treścią/obrazem z wideokonferencji np. poprzez odpowiednie ustawienie monitorów, wyciszenie pomieszczeń, zasłonięcie okien wychodzących na ulicę.

Kolejnym zadaniem IODa jest zwiększanie świadomości najwyższego kierownictwa oraz pracowników organu w zakresie ochrony danych osobowych, szkolenia oraz audyty organizacji. W obecnej sytuacji najważniejszym wsparciem jakie powinien zapewnić inspektor ochrony danych jest wskazanie pracodawcy m.in. prawidłowego zakresu zbieranych danych osobowych pracowników czy osób odwiedzających organ. Wątpliwości dotyczące zbierania m.in. informacji o temperaturze ciała, pobytach za granicą czy też kontaktach z osobami poddanymi kwarantannie powinny być rozstrzygane w kontekście ochrony zdrowia. Tutaj inspektor ochrony danych powinien na bieżąco śledzić wprowadzane zmiany m.in. w kodeksie pracy, które z czasem powinny być dostosowane do potrzeb organizacji.

Niezbędne zasoby IODa

Z powyższych zadań inspektor ochrony danych nie będzie mógł się wywiązać bez zapewnienia ze strony administratora m.in. niezwłocznego przekazywaniu mu wszystkich istotnych informacji o swoich planach związanych z organizacją pracy czy też rozlokowaniem pracowników. Obowiązek niezwłocznego wprowadzania inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych spoczywa na każdym administratorze danych zgodnie z art. 38 ust. 1 RODO.

Kierownictwo organu powinno wprowadzić procedurę wskazującą na obowiązek konsultowania z inspektorem ochrony danych projektowanych zmian czy to w sposobie obsługi wnioskodawcy czy też w zakresie przetwarzania danych osobowych w zakresie wykorzystywanych formularzy czy systemów informatycznych. W praktyce bardzo dobrze sprawdza się wprowadzenie w organie listy stanowisk/specjalistów, którzy powinni wyrazić swój pogląd dotyczący projektowanych zmian. Tylko współpraca poszczególnych pionów czy departamentów pozwoli wypracować odpowiednie podejście do ochrony danych osobowych.

Artykuł 38 ust. 1 RODO

Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Autor jest ekspertem ds. danych osobowych, autorem bloga jawneprzezpoufne.pl

podstawa prawna: art. 46 ust. 8 ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DzU 2019 r., poz. 125)

podstawa prawna: art. 38 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1)

Choroby Koronawirus SARS-COV-2 Budżet Państwa Dane Osobowe Urzędnicy Pracownicy Samorządowi Urzędnicy Państwowi