13 Mar

Jak uzasadnić niezbędność wprowadzenia monitoringu

Nie doczekaliśmy się jeszcze ustawy o monitoringu wizyjnym, tym bardziej ustawy dotyczącej monitorowania wykorzystywanych przez pracowników narzędzi pracy (np. kontrola poczty), czy biometrii do kontroli dostępu. Natomiast wraz z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych zostały wprowadzone zmiany do niektórych przepisów sektorowych, stanowiące punkt wyjścia do stosowania monitoringu przez administratora danych. Gdy na szkoleniach pytam uczestników co administrator musi zrobić, aby móc wprowadzić monitoring? Najczęściej odpowiadają poinformować pracowników. Jest to jeden z elementów związanych ze stosowaniem monitoringu, jednakże punktem wyjścia powinno być uzasadnienie niezbędności zastosowania monitoringu. Wynika to wprost z przepisów prawa, np:

  1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 22^2 par. 1. Kodeksu pracy)
  2. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). (art. 22^3 par. 1. Kodeksu pracy)
  3. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 108a ust. 1. ustawy Prawo oświatowe)
  4. Gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 9a ust. 1. ustawy o samorządzie gminnym)
  5. Powiat w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie powiatu lub jednostek organizacyjnych powiatu, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 4b ust. 1. ustawy o samorządzie powiatowym)

Co ciekawe nie ma analogicznego wymogu w ustawie o samorządzie województwa (art. 60 a ust. 1 i 2): Obowiązkiem osób uczestniczących w zarządzaniu mieniem województwa jest zachowanie szczególnej staranności przy wykonywaniu zarządu zgodnie z przeznaczeniem tego mienia i jego ochrona.  Ochrona mienia obejmuje w szczególności możliwość korzystania ze środków technicznych umożliwiających rejestrację obrazu (monitoring) na terenie nieruchomości i w obiektach budowlanych stanowiących mienie województwa, a także na terenie wokół takich nieruchomości i obiektów budowlanych.

Jednakże użycie słowa w szczególności oznacza, że jest to jeden z możliwych do zastosowania środków nadzoru, a nie środek wymagany do sprawowania nadzoru. Stosowanie monitoringu jest przywilejem administratora, nawet jeżeli korzystał z narzędzi służących do monitoringu przed nowelizacją przepisów, musi być w stanie wykazać adekwatność zastosowanego narzędzia służącego do przetwarzania danych osobowych do celu tego przetwarzania. W końcu z artykułu 5 RODO wynikają zasady minimalizacji danych i adekwatności do celu przetwarzania. Read More

10 Paź

Wykaz procesów przetwarzania, dla których musi być przeprowadzana ocena skutków (DPIA)

O ocenie skutków dla ochrony danych pisałam już wcześniej (Ocena skutków przetwarzania według RODO ) jednakże w artykule skupiałam się na nowych procesach przetwarzania, które ze względu na swój charakter wiążą się z wysokim ryzykiem naruszenia poufności. Pod koniec sierpnia w Dzienniku Urzędowym ukazał się Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz jest konsekwencją art. 35 ust. 4 RODO: Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Ponieważ RODO wymaga spójności wewnątrz UE w zakresie zasad przetwarzania danych Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68. W zeszłym tygodniu ukazała się opinia Rady dotycząca polskiego wykazy, zgodnie z którą Prezes UODO ma 14 dni na zaktualizowanie wykazu. Na co zwróciła uwagę Rada?

Read More

16 Kwi

Ocena skutków przetwarzania według RODO

Ogólne rozporządzenie o ochronie danych osobowych to ewolucja dotychczasowego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych, które powinno być oparte na ocenie ryzyka. Generalny Inspektor Ochrony Danych w grudniu 2017 roku opublikował dwuczęściowy poradnik: Jak rozumieć podejście oparte na ryzyku wg RODO? Warto do niego sięgnąć, aby zyskać ogólne pojęcie o zasadach szacowania ryzyka. Wadą poradnika jest jego uniwersalność i profesjonalizm, które mają zapewnić, że będzie miał zastosowanie zarówno do małych, jak i dużych organizacji. Dla osoby nie mającej pojęcia o szacowaniu ryzyka (albo w ogóle o ryzyku), może to być zbyt trudne źródło informacji (chociaż rzetelnie opracowane). Chciałabym podkreślić, że RODO nie narzuca żadnych konkretnych metod szacowania ryzyka – to administrator decyduje, jak dokona oceny tego ryzyka. Nie muszą to być wyrafinowane, czy skomplikowane metody. Podmioty publiczne mogą skorzystać z mechanizmów kontroli zarządczej – są im znane i od lat stosowane. Osoby rozpoczynające swoją przygodę z szacowaniem ryzyka, mogą robić tabele (macierze), ale mogą też po prostu wypisywać zidentyfikowane dla danego procesu ryzyka oraz ich skutki, a następnie opisywać co mogłoby je zminimalizować. Jest to metoda tak dobra, jak każda inna, dopóki działa i jest regularnie stosowana (to czy działa bardzo łatwo jest rozpoznać – zła metoda sprawia, że nie jesteśmy w stanie przeprowadzić analizy, utykamy w połowie). Read More