Obserwuj

Bądź na bieżąco z prawem samorządowym. Zamów bezpłatny cotygodniowy newsletter.






Działy:
  • Gospodarka komunalna

    W dziale "GOSPODARKA KOMUNALNA" publikowane są artykuły dotyczące spółek komunalnych oraz zakładów budżetowych, jak również artykuły dotyczące poszczególnych działów gospodarki komunalnej, w tym gospodarki odpadami komunalnymi, gospodarki wodno-ściekowej, transportu publicznego.

  • Podatki

    W dziale "PODATKI" publikowane są artykuły dotyczące podatków i opłat publicznoprawnych, m.in. dotyczące podatku VAT, podatku od nieruchomości, opłaty za gospodarowanie odpadami komunalnymi i innych.

  • Finanse publiczne

    W dziale "FINANSE PUBLICZNE" publikowane są artykuły dotyczące szeroko pojmowanych zagadnień związanych z finansami publicznymi, m.in. artykuły dotyczące dochodów jednostek samorządu terytorialnego oraz dyscypliny finansów publicznych.

  • Zamówienia publiczne

    W dziale "ZAMÓWIENIA PUBLICZNE" publikowane są artykuły dotyczące problematyki zamówień publicznych, m.in. dotyczące sytuacji podmiotów komunalnych w toku postępowania o udzielenie zamówienia publicznego. Prezentowane są także najnowsze orzeczenie KIO oraz sądów w zakresie prawa zamówień publicznych.

  • Prawo cywilne

    W dziale "PRAWO CYWILNE" publikowane są artykuły dotyczące zagadnień cywilnoprawnych, m.in. umów oraz sporów przed sądami powszechnymi, których stroną są podmioty komunalne.

  • Nieruchomości

    W dziale "NIERUCHOMOŚCI" publikowane są artykuły dotyczące nieruchomości komunalnych oraz spraw związanych z innymi nieruchomościami, w których występują organy samorządu terytorialnego. Artykuły dotyczą w szczególności gospodarki nieruchomościami i planowania przestrzennego.

  • Procedury administracyjne

    W dziale "PROCEDURY ADMINISTRACYJNE" publikowane są artykuły dotyczące procedur, które prowadzone są przez organy samorządu terytorialnego. W szczególności artykuły dotyczą ogólnej procedury administracyjnej (KPA - Ordynacja podatkowa), procedury sądowoadministracyjnej, procedury uchwałodawczej oraz dostępu do informacji publicznej.

  • Ustrój

    W dziale "USTRÓJ" publikowane są artykuły dotyczące ustroju podmiotów komunalnych, w tym zagadnienia dotyczące statusu prawnego organów jednostek samorządu terytorialnego, związków międzygminnych czy radnych.

  • Inne

    W dziale "INNE" publikowane są artykuły związane z funkcjonowaniem podmiotów komunalnych, które ze względu na swoją tematykę nie zostały zakwalifikowane do innych kategorii.

19.10.2018

RODO i obowiązek zamykania szaf na klucz

drukuj mail Share

Sprawdzone rozwiązania

dla każdego samorządu.

przeczytaj

Od wejścia w życie RODO minęło wiele miesięcy, a praktyczne aspekty ochrony danych osobowych nadal budzą wiele sporów i wątpliwości. W związku z obowiązywaniem RODO wiele organizacji wydało zarządzenia wewnętrzne nakazujące pracownikom na koniec każdego dnia zamykanie na klucz wszystkich szaf, w których znajdują się dokumenty zawierające dane osobowe, i precyzujące sposób postępowania z tym kluczem. Czy rzeczywiście zamykanie szaf na klucz jest obowiązkowe na gruncie przepisów RODO?

Artykuł dostępny jest dla zarejestrowanych użytkowników

Od wejścia w życie RODO[1] minęło wiele miesięcy, a praktyczne aspekty ochrony danych osobowych nadal budzą wiele sporów i wątpliwości. W związku z obowiązywaniem RODO wiele organizacji wydało zarządzenia wewnętrzne nakazujące pracownikom na koniec każdego dnia zamykanie na klucz wszystkich szaf, w których znajdują się dokumenty zawierające dane osobowe, i precyzujące sposób postepowania z tym kluczem. Czy rzeczywiście zamykanie szaf na klucz jest obowiązkowe na gruncie przepisów RODO?

Zasada integralności i poufności

Jedną z podstawowych zasad przetwarzaniach danych osobowych jest zasada integralności i poufności danych osobowych, której mowa w art. 5 ust. 1 lit. f) RODO. Przywołany przepis stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Dodatkowo w Motywie (39) Preambuły RODO wskazano, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu. W rezultacie, procesy przetwarzania danych osobowych powinny być tak zaplanowane i zorganizowane aby minimalizować prawdopodobieństwo nieuprawnionego dostępu do danych osobowych, chronić nośniki danych (w tym dokumenty) przed zniszczeniem lub kradzieżą.

Obowiązek zachowania poufności i ochrony przetwarzanych danych osobowych nie jest nowym rozwiązaniem wprowadzonym przez RODO. Na gruncie przepisów obowiązujących do dnia 24 maja 2018 r. administratorzy i procesorzy również zobowiązani byli do zachowania danych osobowych w tajemnicy, a także podejmowania działań w celu ograniczenia możliwości ich utraty, zniszczenia itp.

Ryzyko naruszenia praw i wolności

Ogólna zasada integralności i poufności jest bliżej opisana w dalszych przepisach RODO. Na podstawie art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Po wtóre, w myśl art. 32 ust. 1 RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku(…).

Z cytowanych wyżej przepisów wynika, że RODO nakazuje powiązać ryzyko naruszenia praw i wolności osoby fizycznej, której dane dotyczą, oraz stosowane środki techniczne i organizacyjne. „Oparcie przetwarzania na szacowaniu ryzyka staje się więc jednym z kluczowych elementów zapewniania zgodności z przepisami RODO i wymaga starannej analizy procesów przetwarzania danych przez administratora. Ocena ta odbywa się z perspektywy ryzyka naruszenia praw i wolności osób, których dane są przetwarzane, a nie ryzyka związanego z przetwarzaniem danych, na które jest narażony administrator. Chodzi tu o zdiagnozowanie sytuacji powstania szkody na skutek utraty przez człowieka kontroli nad własnymi danymi, kradzieży lub sfałszowania tożsamości, naruszenia dobrego imienia, naruszenia poufności danych objętych tajemnicą zawodową itp. Jest to dość złożony proces, który w efekcie pozwoli na wybór niezbędnych środków i działań w celu ograniczenia ryzyka (np. pseudonimizacja danych, szyfrowanie danych, szkolenia personelu)”[2].

Zatem środki techniczne i organizacyjne stosowane w organizacji nie mogą pozostawać w oderwaniu od natury danego procesu przetwarzania danych osobowych oraz stwierdzonego ryzyka naruszenia praw i wolności osoby, której dane dotyczą.

Jak chronić dokumenty?

Środki techniczne lub organizacyjne zabezpieczenia dokumentów zawierających dane osobowe mogą być różne. Do administratora i procesora należy wybór odpowiednich rozwiązań, które zapewnią poziom bezpieczeństwa odpowiedni do stwierdzonego ryzyka i jednocześnie nie będą utrudniać bieżącego funkcjonowania organizacji. Wprowadzanie rozwiązań nadmiernie restrykcyjnych czy zwyczajnie niefunkcjonalnych może bowiem prowadzić do sytuacji, że w praktyce żaden pracownik nie będzie ich przestrzegać. Decyzja o wprowadzeniu konkretnego rozwiązania organizacyjnego powinna także uwzględniać pozostałe środki techniczne i organizacyjne wykorzystywane w danych procesie przetwarzania danych osobowych.

Zamykanie na klucz szaf z dokumentami zawierającymi dane osobowe na koniec każdego dnia pracy i stosowanie procedury przechowywania kluczy są jednym z dopuszczalnym środków organizacyjnych przyczyniających się do przestrzegania zasady integralności i poufności. W niektórych sytuacjach wprowadzenie ww. środka organizacyjnego będzie uzasadnione, a w innych może okazać się zbędne. W pomieszczeniu typu kancelaria, biuro podawcze lub biuro obsługi interesanta i w pokoju nr 23, w którym 2 osoby przygotowują warunki techniczne przyłączenia do sieci wodociągowej, będą zupełnie inne poziomy ryzyka naruszenia praw i wolności osoby fizycznej. Pisma składane do biura podawczego są różnorodne i mogą zawierać więcej danych osobowych niż wnioski o warunki techniczne przyłączenia do sieci. Interesanci i kurierzy mają swobodny dostęp do biura obsługi interesanta, a do działu ds. warunków technicznych obowiązuje szereg zasad np. pracownicy noszą identyfikatory, tylko pracownik imiennie wskazany na liście otrzyma w portierni klucz do pokoju nr 23, po drodze musi otworzyć identyfikatorem 2 pary drzwi, istnieje zakaz wprowadzania członków rodziny i innych osób postronnych na piętra, na korytarzach jest monitoring itp. Analiza ryzyka naruszenia praw osoby w biurze podawczym prawdopodobnie potwierdzi potrzebę zamykania na koniec dnia szaf na klucz i przechowywanie klucza w ściśle określony sposób. Z kolei analiza ryzyka w odniesieniu do procesów przetwarzania mających miejsce w pokoju nr 23 może prowadzić do wniosku, że wobec istnienia 14 innych środków technicznych i organizacyjnych zamykanie szaf zostanie uznane za zbędne.

RODO i zamykanie szaf na klucz

System ochrony danych osobowych powinien być dostosowany do zarówno do specyfiki danej organizacji, ale także do poszczególnych procesów przetwarzania danych osobowych w tej organizacji. Czasami obowiązek zamykania szaf z dokumentami zawierającymi dane osobowe będzie miał pierwszorzędne znaczenie dla ochrony danych osobowych w konkretnych procesie przetwarzania danych osobowych, a czasami – znaczenie ograniczone lub nikłe. Wybór środków technicznych i organizacyjnych zależy bowiem od ryzyka naruszenia praw i wolności, a także charakteru, zakresu, kontekstu i celów przetwarzania.

 


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Sakowska-Baryła M. (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Uwagi do art. 5, Warszawa 2018, Legalis

Sprawdzone rozwiązania

dla każdego samorządu.

przeczytaj
DZIAŁY:
Inne

Autor artykułu

Urszula Szefler

radca prawny w Kancelarii Prawnej Dr Krystian Ziemski & Partners w Poznaniu, specjalizuje się w prowadzeniu sporów sądowych i bieżącej obsłudze przedsiębiorców ze szczególnym uwzględnieniem prawa pracy

Więcej z Praktyki §

Sprawdzone rozwiązania

dla każdego samorządu.

przeczytaj