W dniu 1 grudnia 2022 r. w Auli Zespołu Szkół Nr 2 im. Bartosza Głowackiego w Krasnymstawie odbyła się Konferencja SIODO organizowana wraz ze Starostwem Powiatowym w Krasnymstawie pt. „Wieloaspektowe ujęcie ochrony danych osobowych w JST – Jak sprostać przepisom?”
Konferencję otworzył Wicestarosta: Pan Marek Nowosadzki, przedstawiając problematykę Konferencji oraz działalność Stowarzyszenia przedstawił zgromadzonym Członków Zarządu SIODO w rolach prelegentów w osobach – Pani Bogdanna Krupińska Skarbnik SIODO i Pan Dawid Czerw Członek Zarządu SIODO.
Pierwszy panel pt. Kierownik jednostki vs przepisy UODO, RODO, ochrony dóbr osobistych i wizerunku otworzył Członek Zarządu SIODO: Pan Dawid Czerw.
W wystąpieniu inicjującym prelegent omówił „Zadania i odpowiedzialność Dyrektora jednostki za ochronę obszarów prywatności”, w którym zdefiniował podstawowe pojęcia zawarte w przepisach prawa, takie jak: Administrator, dane osobowe, a także poddał pod rozważania kwestię istoty ochrony danych osobowych i prywatności szeroko pojętej.
Pan Dawid Czerw w swoim wystąpieniu przedstawił konstytucyjne zadania Administratora, które wzbogacił o powiązanie z nimi zadania wynikające z przepisów Ogólnego Rozporządzenia o Ochronie Danych, szczególnie akcentując na przetwarzanie danych osobowych umocowane stosowną przesłanką przetwarzania (art. 6 oraz art. 9 RODO), ale przede wszystkim odpowiednim przepisem prawa.
Powyższe zilustrował przykładami przetwarzania danych osobowych w zakresie funkcjonowania Zakładowego Funduszu Świadczeń Socjalnych oraz na przykładzie postępowania z dokumentacją niearchiwalną. Poruszył również kwestie praktyczne zadań Administratora w zakresie korzystania ze sprzętu prywatnego oraz służbowego w pracy, a także na gruncie przepisów Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań́ dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań́ dla systemów teleinformatycznych wykazał konieczność systematycznych szkoleń pracowników.
W swoim wystąpieniu szczególnie zaakcentował potrzebę odpowiedzialnego oraz świadomego zarządzania systemem bezpieczeństwa danych osobowych w jednostce.
W drugim wystąpieniu prelegent omówił temat „Inspektor Ochrony Danych – praktyka i błędy wynikające z funkcjonowania osoby wyznaczonej”.
Zaakcentował często bagatelizowane wymagania, które powinny być stawiane kandydatowi na stanowisko Inspektora Ochrony Danych, ujęte w art. 37 ust. 5 RODO oraz wskazał, iż najczęściej wybieranym kryterium oceny kandydata na IODO, jest najniższa cena wykonania usługi. Marginalizacja elementów takich jak kwalifikacje, wiedza oraz doświadczenie, jest skutkiem nieefektywnego działania osoby wyznaczonej, która sprowadza się do iluzorycznego pełnienia tej ważnej funkcji w działalności placówki – organizacji.
Prelegent na bazie doświadczeń wykazał również potrzebę współpracy całego personelu oraz sprawnej komunikacji i włączania Inspektora Ochrony Danych we wszelkie sprawy dotyczące przetwarzania danych osobowych, a także wyjaśnił istotę umocowania w relacji z Inspektorem Ochrony Danych takich elementów jak systematyczne dyżury w siedzibie jednostki, system raportowania oraz planowania pracy, a także uszczegółowienia dodatkowych obowiązków, które sumarycznie pozwalają na efektywne zarządzanie bezpieczeństwem przetwarzanych danych osobowych.
W drugim panelu Pani Bogdanna Krupińska skupiła się na praktycznym aspekcie stosowania przepisów z zakresu ochrony danych osobowych.
Omawiając temat „Dysponowanie danymi osobowymi (relacje pomiędzy podmiotami) – zasady i środki” skupiła się na relacji jaka zachodzi pomiędzy administratorem a podmiotem przetwarzającym. Przypomniała definicję podmiotu przetwarzającego oraz przytoczyła przykłady podmiotów, z którymi może zachodzić taka relacja. W oparciu o przepisy RODO oraz Wytyczne 07/2020 EROD dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO, wykazała obowiązek weryfikacji podmiotu przetwarzającego zarówno przez podpisaniem umowy, jak również już po jej zawarciu. Zaproponowała sposób weryfikacji przedstawiając przykładają listę pytań weryfikacyjnych.
Podkreśliła natomiast, że pytania, ich zakres oraz dokładność zależy od charakteru i zakresu przetwarzania danych przez podmiot przetwarzający. Wykazała, że weryfikacja podmiotu przetwarzającego powinna być wykonana pod kątem jego wiedzy fachowej, wiarygodności jak również posiadanych prze niego zasobów. Wspomniała o problemach, z którymi można się spotkać przy nawiązaniu współpracy z monopolistami. Szczegółowo omówiła elementy umowy przetwarzania danych osobowych w imieniu Administratora, które bezpośrednio wynikają z przepisów art. 28 ust. 3 RODO jak również wskazała na elementy, które jej zdaniem powinny być uszczegółowione.
Zwróciła również uwagę na jakie elementy współpracy i na jakie błędy w uregulowaniu współpracy pomiędzy Administratorem a podmiotem przetwarzającym w swoich decyzjach zwraca uwagę Prezes Urzędu Ochrony Danych Osobowych. Kończąc prelekcję Pani Bogdanna omówiła odpowiedzialność podmiotów wynikającą z RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Kodeksu cywilnego.
Podczas wystąpienia na temat „Prywatność a dostęp do informacji publicznej” Pani Bogdanna Krupińska zwróciła uwagę na problematyczność tego zagadnienia, wynikającą z braku zdefiniowania w ustawie o dostępnie do informacji publicznej takich pojęć jak „prywatność”, „osoba pełniąca funkcję publiczną”, „władza publiczna”.
Pani Bogdanna Krupińska wykazała rozbieżność pomiędzy brzmieniem art. 61 ust. 1 Konstytucji RP, który zakłada dostęp do informacji o „działalności osób pełniących funkcje publiczne”, a art. 5 ust. 2 ustawy o dostępie do informacji publicznej, w którym mowa jest o informacji o osobach pełniących funkcje publiczne. Przytoczyła część wyroków NSA oraz SN, na podstawie których wykazała rozbieżność w orzecznictwie tych sądów dot. interpretacji przepisów o dostępie do informacji publicznej, czym udowodniła słuchaczom skalę problemu z jednoznacznym określeniem katalogu informacji, które podlegają udostępnieniu.
Zaznaczyła również, że w każdym przypadku udostępnienia informacji publicznej, której elementem mają być dane osobowe, podmiot zobowiązany musi dokonać ustalenia czy udostępnienie to jest zgodne z przepisami RODO, ponieważ jako Administrator odpowiada za przetwarzanie danych zgodnie z prawem. Podkreśliła, że problem ewentualnej ingerencji w prywatność jednostki przy udostępnianiu informacji publicznej należy zawsze rozpatrywać w odniesieniu do stanu faktycznego konkretnej sprawy.
Swoją prelekcję zakończyła omówieniem proceduralnego wymiaru ograniczenia korzystania z prawa dostępu do informacji publicznej jakim jest anonimizacja. Opisała, jak powinna wyglądać, jakich błędów przy niej należy unikać oraz w jakich przypadkach taki sposób ograniczenia dostępu do informacji publicznej jest niemożliwy do zastosowania.
Oba panele wzbudziły bogatą dyskusję pomiędzy Prelegentami a uczestnikami, obejmującą praktyczne aspekty prezentowanych tematów.