– Powinno się dążyć do osiągnięcia standardów określonych w RODO już dzisiaj – radzi dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p., zajmująca się problematyką ochrony danych osobowych.
Jak zaznaczyła, wiele JST czeka na wejście w życie przepisów ustawowych i nie wyobraża sobie ogromu prac. – Mamy wykazać, że działamy zgodnie z rozporządzeniem – dodała prawniczka.
– Bardzo często tam, gdzie sami tworzymy formularze, mamy pokusę zbierania danych nadmiarowych – zauważyła dr Marlena Sakowska-Baryła. – Koniecznie trzeba to przejrzeć – dodała – bo RODO zakłada, że mamy prawo przetwarzać tylko te dane osobowe, które są niezbędne dla osiągnięcia zakładanego celu, co rozporządzenie określa jako zasada minimalizacji danych.
Czytaj też Będą kary za naruszanie prawa o danych osobowych >>
Zgodnie z prawem, przetwarzanie danych ma być przejrzyste dla osoby, której dane są przetwarzane, każda jednostka ma obowiązek poinformowania o powodach i okolicznościach zbierania danych osobowych.
Według prawniczki, obowiązki informacyjne słabo przyjęły się w sektorze publicznym. Tymczasem na gruncie RODO niezbędne jest ich spełnienie. Wyjątki mogą być określone w przepisach prawa krajowego, ale tych jeszcze nie ma. Z tego względu już dziś należy zastanowić się, jak efektywnie, a konkretyzując, w którym momencie, i jak te obowiązki spełnić.
Dr Sakowska-Baryła zwraca uwagę na ograniczenia czasowe przetwarzania danych osobowych. – Musimy wiedzieć, jak długo będziemy dane przetwarzać, określenie tego może być trudne, a miarodajne ustalenia zapewne będą wymagać zaangażowania wielu podmiotów i czasu w dokonywanie odpowiednich analiz – powiedziała.
Zdaniem prawniczki, nie warto czekać na przepisy wprowadzające.
W momencie inwentaryzacji zasobów i procesów przetwarzania danych osobowych może się okazać, że raz jeszcze musimy ustalić podstawy tego przetwarzania.
Przesłanki dopuszczalności przetwarzania danych
– Każda JST będzie musiała zastanowić się, na jakiej podstawie przetwarza dane osobowe i czy będzie mogła dalej przetwarzać je po 25 maja – podkreśla dr Sakowska-Baryła. Jak dodała, organ musi precyzyjnie określić, czy może przetwarzać dane, dokonując tego odpowiednio na podstawie art. 6 lub art. 9 RODO.
Jak zauważa prawniczka, w każdej JST przetwarza się dane osobowe średnio w ok. 100 zbiorów, a w nich mogą być tysiące danych. – Ktoś musi przejrzeć te zbiory i przeanalizować zawarte w nich dane osobowe – podkreśliła.
Dodała, że to nie wystarczy, bo – zgodnie z zamysłem RODO – konieczne będzie ustalenie procesów ich przetwarzania. Trzeba też zastanowić się nad tym, czy w dalszym ciągu możliwe jest przetwarzanie danych osobowych na podstawie zgody z dwóch zasadniczych powodów. Po pierwsze, czy zgody te odpowiadają wymogom RODO, wskazuje na to bowiem motyw 171 rozporządzenia; po drugie, czy zgoda w ogóle wchodzi w rachubę jako podstawa przetwarzania przez podmiot publiczny, ponieważ wedle zamysłu wynikającego z motywów RODO, nie ma miejsca na zgodę tam, gdzie wykonywanie władzy publicznej, więc i przymusowe położenie podmiotu danych w stosunku do organów władzy publicznej – wyjaśniła.
Samorządy będą musiały wykonać kilkadziesiąt czynności związanych z wdrożeniem RODO. Wchodzi w nie również zabezpieczenie dokumentów i systemów informatycznych, wprowadzenie odpowiednich zmian organizacyjnych oraz ocena ryzyka, a także usunięcie danych, które są przetwarzane w sposób nieuzasadniony.