Organizator
Dolnośląska Szkoła Wyższa we Wrocławiu
WspółorganizatorzyStowarzyszenie Inspektorów Ochrony Danych Osobowych
Straż Miejska we Wrocławiu
Jako wykładowca akademicki Dolnośląskiej Szkoły Wyższej we Wrocławiu oraz członek SIODO podjąłem się inicjatywy zorganizowania konferencji naukowej w Dolnośląskiej Szkole Wyższej we Wrocławiu, której tematyka wystąpień miała za cel omówienie wybranych aspektów stosowania ogólnego rozporządzenia o ochronie danych osobowych – RODO oraz ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – DODO. Własne obserwacje, niejednokrotnie osobiste rozmowy z przedstawicielami organów porządkowych uświadomiły mi, że wielu funkcjonariuszy Policji czy też Straży Gminnych mają szczególne trudności w wykazaniu właściwej wykładni i stosowaniu w praktyce przepisów prawnych odnoszącym się do tzw. RODO oraz ustawy wdrażającej dyrektywę policyjną – tzw. DODO. Z tymi problemami najczęściej musi się zmierzyć Inspektor Ochrony Danych Osobowych wyznaczony w tych organach, który faktycznie realizuje swoje obowiązki najczęściej jednocześnie w tych dwóch obszarach. Możliwość wymiany określonych doświadczeń w wypełnianiu tych zadań przez IODO stała się dla mnie podstawą do jej zrealizowania.
Do udziału w Konferencji zaprosiłem Pana Jarosława Felińskiego – Prezesa SIODO oraz wykładowców Dolnośląskiej Szkoły Wyższej we Wrocławiu, którzy prowadzą zajęcia ze studentami w tych obszarach. Zależało mi, aby uczestnikami tej konferencji byli funkcjonariusze i pracownicy organów porządkowych jak i osoby wykonujące zadania IODO. Informacja o planowanej Konferencji trafiła w głównej mierze do jednostek Straży Gminnych (Miejskich) oraz Policji województwa dolnośląskiego. Konferencję zaplanowano na dzień 9 czerwca 2022r. w godz. 10.00 – 14.00.
Zgodnie z planem została otwarta przez Panią Dziekan Wydziału Studiów Stosowanych dr Joannę Mintę, prof. DSW, która przedstawiła główny cel konferencji oraz przywitała jej uczestników. Następnie głos zabrała Pani Prodziekan ds. Kształcenia WSS dr Iwona Ładysz, która jako Przewodnicząca Komitetu Programowo – Naukowego wskazała na znaczenie i wagę zagadnień ochrony danych osobowych jako elementu systemowego podejścia do zagadnień bezpieczeństwa wewnętrznego naszego kraju. Dodatkowo podkreślono szczególną rolę organów porządkowych w wymiarze przestrzegania określonych reguł ochrony danych osobowych mając na uwadze fundamentalne prawa każdej osoby do poszanowania prywatności.
Pierwszym z tematów przedstawił Jarosław Feliński – Prezes SIODO, Wykładowca WPiA UJ i AGH w Krakowie
– „Prawo do prywatności a prawo do ochrony danych w organach porządkowych w świetle przepisów prawa ochrony danych osobowych”
Przedstawiono zagadnienia
- Prywatność a ochrona danych osobowych – czym się różnią
- Jak postrzegać podstawowe reguły i zasady o ochronie danych osobowych
- Główne zadania IODO w korelacji z RODO i DODO
- Przykłady stosowania się do wybranych przepisów i obowiązków na gruncie RODO
Wystąpienie Pana Jarosława Felińskiego było bardzo ciekawym ujęciem zobrazowania jak postrzegać prywatność, jak dobra osobiste, a jak organizować ochronę danych osobowych
w świetle obowiązujących przepisów prawa. Przedstawiono różnicę pojęć – prywatność a ochrona danych i zbyt często zastępcze (synonimowość) zrównywanie tych określeń. Wyakcentowano
w trakcie wystąpienia subtelności i prawne podstawy poszanowania prywatności, a także znaczenie i podział dóbr osobistych, wizerunku w kontekście przepisów prawa, jak również sens stosowania ochrony danych osobowych przez różnych administratorów.
W trakcie prezentacji zaakcentowano również określone reguły i zasady jakimi powinny się posługiwać organy porządkowe w związku z przetwarzaniem danych osobowych. Podkreślono także znaczenie zasady legalności przetwarzania danych osobowych, a także niespójność ustawowego nazewnictwa pojęcia „Administratora”. Wskazano na wybrane aspekty wyznaczania IODO w tych dwóch obszarach ustawowych i wynikających z nich różnych podstaw wyznaczania IODO oraz innych zadań określonych tymi przepisami.
Problematyka ta będzie później przedmiotem rozwinięcia w trakcie innego kolejnego wystąpienia. Zaprezentowano również konkretne przykłady ilustrujące stosowane rozwiązania, w postaci jednego IODO w Urzędzie i w Straży Gminnej podległej temu urzędowi. Podkreślono niezgodność realizacji informacji publikowanych przez administratora o wyznaczonym IODO. Na zakończenie w sposób syntetyczny wskazano na różne problemy, które pomimo czterech lat obowiązywania tych regulacji prawnych powodują dalej problemy w praktycznym ich zastosowaniu.
Kolejne wystąpienie dotyczyło tematu „Teoria i praktyka w zakresie udostępniania danych osobowych przez organy porządkowe”, którego prelegentem była Pani dr Emila Kuczma. Na uwagę zasługiwał fakt, iż w całości zreferowano temat bez wspierania się prezentacją. Wystąpienie było wskazaniem praktycznych przesłanek jak organy porządkowe powinny analizować zasadność udostępniania danych osobowych na żądanie różnych podmiotów lub osób fizycznych. Podkreślono znaczenie i wagę poszukiwania właściwych podstaw prawnych przetwarzania danych osobowych w szczególności dla osób fizycznych, które bardzo często wnioskują o podstawowe dane kontaktowe osób, będących w zainteresowaniu organów porządkowych a argumentacja i uzasadnienie ich żądania udostepnienia nie zawsze daje jednoznaczną podstawę ich przekazania. Prezentowany temat jednoznacznie wykazał, iż problematyka udostępniania danych osobowych na gruncie RODO lub DODO pomimo, że jest zbliżona to za każdym razem wymaga indywidualnego podejścia do konkretnego żądania. Niezbędna w tym przypadku jest właściwa współpraca osób odpowiedzialnych za ich udostepnienie z ewentualna potrzebą konsultacji z IODO.
Po krótkiej planowej przerwie w Konferencji, miałem przyjemność, zaprezentowania trzeciego tematu pt. Administrator danych osobowych a Inspektor Ochrony Danych Osobowych – zapewnienie prawidłowych warunków do realizacji jego zadań.
W ramach tego wystąpienia omówiłem wzajemne relacje pomiędzy Administratorem Danych Osobowych (ADO) a Inspektorem Ochrony Danych Osobowych (IODO), na gruncie RODO oraz DODO. Pomimo czterech lat praktycznej realizacji zadań przez IODO w mojej ocenie niezrozumienie roli i jego zadań przez ADO stanowi dalej olbrzymi problem. Tym samym przypomniałem jakie obowiązki spoczywają na ADO w podmiocie publicznym w zakresie przyjęcia prawidłowych kryteriów jego wyznaczenia, poinformowania organu nadzoru o jego wyznaczeniu jak i zamieszczenia określonych danych kontaktowych na swoich stronach internetowych. Omówiłem i porównałem zadania IODO jak i jego status w korelacji z ADO. Podkreśliłem znaczenie, role i kompetencje IODO w celu właściwego monitorowania obszaru bezpieczeństwa i ochrony danych osobowych w organach porządkowych. Nawiązałem dodatkowo do artykułu, który ukazał się na stronie Urzędu Ochrony Danych Osobowych, gdzie wskazano 27 pytań, które mają na celu sprawdzenie właściwego umiejscowienia i realizacji zadań przez IODO w strukturze różnych organizacji i podmiotów. Wskazałem na kilka z nich, które podkreślały jak należy interpretować tzw. konflikt interesu przy wykonywaniu zadań przez IODO. Chciałem tym samym ukierunkować tych uczestników konferencji, którzy reprezentowali ADO, aby mogli poddać szybkiej ocenie jak te zadania są faktycznie realizowane w ich organach. Zaprezentowałem również przykład nałożenia kary upomnienia przez Prezesa Urzędu Ochrony Danych Osobowych na dyrektora szpitala, gdzie zarzucono właśnie przyjęcie nieprawidłowych rozwiązań organizacyjnych związanych z nadawaniem upoważnień do przetwarzania danych osobowych jako tzw. konflikt interesów. Pomimo kontrowersyjnych, niektórych pytań jakie zamieszczono w tym artykule, znacząca większość powinna stanowić pewien punkt odniesienia jak powinien ADO kształtować zadania i współpracę z wyznaczonym IODO.
Ostatni temat Konferencji nosił tytuł „Wymagania dla środków technicznych i organizacyjnych ochrony zasobów informacyjnych i nowe wyzwania w świetle zagrożeń cybernetycznych”, który został zaprezentowany przez Pana Przemysława Kanikowskiego. Główne obszary, które zostały omówione to:
- cyberprzestrzeń a bezpieczeństwo – nie tylko danych osobowych
- cyber(nie)bezpieczeństwo – przykłady, statystyki, skutki ataków
- RODO a DODO – porównanie stosowania określonych rozwiązań organizacyjnych i technicznych
- w jaki sposób określić i jakie środki ochrony należy wdrożyć
- typowe wymagania dla środków technicznych i organizacyjnych w świetle zagrożeń „cyber”
W trakcie wystąpienia, w sposób syntetyczny ale i bardzo obrazowy, zaprezentowano znaczenie i wagę zasobów informacyjnych oraz możliwości wystąpienia bieżących ataków na nie. Pokazano również, iż te potencjalne ataki mają miejsce w czasie rzeczywistym i nie występuje dla nich żadna bariera terytorialna. Na kilku przykładach przedstawiono najczęściej wykorzystywane metody działań sprawców takich ataków, ale również i ich potencjalne skutki dla danej organizacji. Omówiono drogowskaz podejmowania określonych środków bezpieczeństwa na gruncie RODO i DODO, który powinien stanowić punkt wyjściowy do wdrażania określonych rozwiązań. Prowadzący podkreślił znaczenie analizy ryzyka jako podstawę do stosowania wybranych środków bezpieczeństwa ochrony zasobów informacyjnych. Ukierunkował a zarazem usystematyzował najważniejsze przepisy, normy, inne źródła, które powinny stanowić obowiązkowa literaturę, dla osób zajmujących się bezpieczeństwem informacji w organizacji. Podsumowując podkreślono, że bezpieczeństwo informacji to proces ciągły, wymagający stałego monitorowania, dostosowywania zabezpieczeń do aktualnych zagrożeń z przeświadczeniem, aby pamiętać, że nie istnieją 100% zabezpieczenia dla tego obszaru.
Po zaprezentowaniu wszystkich czterech tematów, zachęcono uczestników do dyskusji. Zostały zadane trzy pytania, dotyczyły one w głównej mierze zajęcia stanowiska na przedstawiony konkretny przykład związany z przetwarzaniem danych osobowych czy też potencjalnych naruszeń prawa do prywatności w korelacji organ porządkowy a osoba fizyczna. Prelegenci na bieżąco odpowiedzieli na te pytania.
Podsumowania i zakończenia konferencji dokonał Pan Jarosław Feliński. Na podstawie omówionych tematów, ale i zadawanych pytań ze strony uczestników, powtarzał się wątek związany z rolą i umiejętnościami wypełniania zadań IODO w organach porządkowych. W trakcie tego podsumowania podkreślono, że dostrzegalne są przypadki podmiotów zobligowanych do stosowania przepisów tzw. ustawy DODO, lecz nie widać tych działań w publikatorach urzędowych odpowiednich podmiotów. Co więcej, jedynym widocznym znakiem są informacje (tzw. klauzule RODO) ogólne, nie wskazujące na stosowanie UODOP ZZZP, ani wyznaczenia inspektora zgodnie z tą ustawą. To niepokojące zjawisko.
Tym bardziej martwi fakt, że zaniechanie to może wynikać z deficytu wiedzy i braku kompetencji IODO, o konieczności wykazania niezależnych dwóch podstaw prawnych wyznaczenia IODO wg RODO i wg UODOP ZZZP. Co więcej nie można pomijać konieczności wykonywania sprawdzeń, sprawozdań i szkoleń przewidzianych w rozporządzeniu wykonawczym do ustawy przez inspektorów. Ten obszar działań wydaje się nadal niewystarczająco zagospodarowany.
Należy podkreślić, iż w zakresie prawidłowości monitorowania przestrzegania przepisów RODO i DODO, występują istotne różnice organizacyjno-techniczne wprowadzanych rozwiązań. Dodatkowo bardzo często błędne uświadamianie personelu danego organu o ich obowiązkach, zasadach, regułach wynikających z przepisów prawa, co sprzyja niezrozumiałym rozwiązaniom, zaleceniom, które jeszcze bardziej komplikują problematykę ochrony danych osobowych. Bez zrozumienia znaczenia tych obszarów dla danej organizacji, ze strony administratora oraz kompetencji i wiedzy IODO trudno będzie budować kulturę ochrony danych osobowych w organach porządkowych.
W Konferencji łącznie udział brało 87 osób, z czego większość to funkcjonariusze Policji, Straży Gminnej (Miejskiej), odpowiedzialni za stosowanie się do wymogów ochrony danych osobowych ustanowionych w ich jednostkach, ale również uczestniczyli pracownicy cywilni tych formacji mundurowych, którzy realizują zadania IODO. Wśród uczestników nie zabrakło przedstawicieli kadry dydaktycznej Wydziału Studiów Stosowanych DSW we Wrocławiu z kierunków bezpieczeństwo i administracja, studentów I roku kierunku: bezpieczeństwo wewnętrzne.
Mam nadzieję, że moja inicjatywa w doborze zagadnień Konferencji pozwoliła na skonfrontowanie co można ulepszyć w organach, których przedstawiciele tak licznie przybyli. Na poparcie moich przypuszczeń, iż poruszona problematyka wyzwoliła chęć dalszych przedsięwzięć, jest skierowanie do mnie pytania o możliwość zorganizowania warsztatów dla pracowników jednostek Straży Gminnej (Miejskiej) w omawianych zagadnieniach. Zakładam, że uda się kontynuować moją inicjatywę.
Robert Wodejko