Obsługa programu 500+ a przepisy o ochronie danych osobowych
Otrzymuję ostatnio sporo pytań o to jak na obowiązki podmiotu wynikające z ustawy o ochronie danych osobowych wpływa realizowanie wypłaty świadczeń w ramach tzw. programu 500+. Na początku może podkreślę, że administratorem danych przetwarzanych w związku z realizacją obowiązków wynikających z ustawy o pomocy państwa w wychowania dzieci jest instytucja, która decyduje o celach i środkach przetwarzania danych, w szczególności będą to gminy i ośrodki pomocy społecznej. Ustawa co prawda określa te instytucje jako „zbiorowego administratora danych”, jeżeli działają w interesie publicznym, jednak należy zauważyć, że Generalny Inspektor Danych Osobowych w swoim stanowisku na temat zapisów ustawy zaznaczył, że nie ma takiego tworu jak „zbiorowy administrator danych” i wprowadzenie go będzie nie tylko niezgodne, z obowiązującymi przepisami prawa unijnego, ale także rozmyłoby odpowiedzialność podmiotu za przetwarzanie danych zgodnie z przepisami prawa (pisałam o tym tutaj). Dodatkowo należy zauważyć, że zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych ma obowiązek zarejestrowania w GIODO zbioru danych wrażliwych. Przepisy nie przewidują zarejestrowania zbioru dla „zbiorowego administratora danych”, a ustawa 500+ nie określa, który podmiot jest ADO. Do dnia dzisiejszego w ustawie o ochronie danych osobowych nie zostały wprowadzone zmiany wynikające z ustawy o pomocy państwa w wychowania dzieci, a czasu na uruchomienie programu jest coraz mniej. Wobec tego co zalecałabym jednostce, która jest odpowiedzialna za realizowanie tego podmiotu?
Przede wszystkim zarejestrowanie zbioru danych wrażliwych w jawnym rejestrze GIODO, poprzez wypełnienie wniosku dostępnego na stronie egiodo.giodo.gov.pl. Jednocześnie należy zaktualizować dokumentację przetwarzania danych osobowych. W polityce bezpieczeństwa rozszerzyć wykaz zbiorów danych osobowych o dane beneficjentów programu pomocy państwa w wychowaniu dzieci. Wskazać jakie i czyje dane będą w ramach tego zbioru przetwarzane. Należy dodać także informacje o programach, w których te dane będą przetwarzane oraz ewentualnych przepływach danych, które są możliwe pomiędzy nimi.Administrator danych musi także wydać pisemne upoważnienia osobom, które będą przetwarzać dane w ramach tego zbioru. Jeżeli dane będą przetwarzane w ramach nowych systemów informatycznych, należy pamiętać, aby w Instrukcji Zarządzania Systemem Informatycznym określić sposób i częstotliwość tworzenia kopii zapasowych z tego systemu.
Formalnie przetwarzanie danych osobowych wrażliwych administrator danych może rozpocząć dopiero po otrzymaniu decyzji GIODO o zarejestrowaniu zbioru w jawnym rejestrze, dlatego zgłoszenia należy dokonać jak najszybciej.
Jeżeli w międzyczasie zmienią się zapisy ustawy w sposób, który umożliwi zwolnienie administratora danych ze zgłoszenia zbioru do rejestru GIODO lub zostanie jasno określony ADO, to administrator otrzyma decyzję o odmowie zarejestrowania zbioru. Oznacza to, że warto zgłosić zbiór nie czekając na zmianę zapisów w ustawie o ochronie danych osobowych, bo ostateczna decyzja o zarejestrowaniu zbioru należy do GIODO.
Na koniec przypominam, że administratorzy danych, którzy powołali ABI nie są zwolnieni z obowiązku zgłaszania zbiorów danych wrażliwych do GIODO, ponieważ ABI w swoim rejestrze zarządza tylko zbiorami danych zwykłych.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!