Kolejne już podsumowanie Newsnlettera Urzędu Ochrony Danych Osobowych – w nim m.in. o monitoringu prowadzanym przez gminę, administratorze danych osobowych przy przetargu, informacje przy skierowaniu do DPS, przetwarzanie danych w poradniach psychologiczno-pedagogicznych, europejskich wytycznych do prowadzenia kampanii wyborczych oraz karze nałożonej na Finlandię.
Obowiązkiem gminy wynikającym z przepisów prawa jest zapewnienie bezpieczeństwa i porządku publicznego, do czego m.in. używa się monitoringu. Rodzi się zatem pytanie, czy można wykonywać pomiarów biometrycznych za pomocą monitoringu w celu walki z przestępczością.
Patrząc od strony prawnej, jedną z podstawowych zasadą, jaką muszą się kierować samorządy jest zasada legalności. Oznacza to, że samorządy mogą działać tylko na podstawie i w granicach przepisów prawa, a one w tej sytuacji wskazują raczej na konieczność ograniczania pewnych kategorii danych, w tym danych biometrycznych, czyli według RODO cech fizycznych, fizjologicznych i behawioralnych oraz dane umożliwiające lub potwierdzające identyfikacje osoby np. wizerunek, lub dane daktyloskopijne. RODO mimo zakazu przetwarzania tych danych ustanawia jednak pewne wyjątki. Głównym powodem dopuszczającym możliwość przetwarzania takich danych jest sytuacją, gdy jest to związane z ważnym interesem publicznym, na podstawie prawa unijnego lub państwowego i jednocześnie, jeśli te działania są proporcjonalne do wyznaczonego celu oraz nie naruszają istoty ochrony danych osobowych. Przesłanka ważnego interesu publicznego wymaga zatem odpowiedniego przepisu, takowy nie istnieje dla gminy.
Z takim zapytaniem do UODO wyszli przedstawiciele przedsiębiorstw z rynku finansowego. Dokładnie wątpliwości budzi tu sytuacja przed finalizacją przetargu, kiedy to zbywca decyduje się ujawnić oferentowi zakres danych, który uzna za stosowany.
Mimo niejasnej praktyki UODO na podstawie art. 4 pkt 7 i 8 RODO, które określają pojęcie administratora oraz pomiotu przetwarzającego, stwierdza, że oferent jest samodzielnym administratorem danych osobowych oraz przetwarza je we własnym imieniu, na własne ryzyko i na własną odpowiedzialność. Wg. RODO administratorem jest podmiot, który decyduje o przetwarzaniu danych i jest odpowiedzialny za ich przetwarzanie. Ponadto wytyczne wskazują, że pojęcia podmiotu przetwarzającego i administratora, to pojęcia funkcjonalne. Oznacza to, że status administratora lub podmiotu przetwarzającego musi wynikać z jego rzeczywistej działalności, a nie być podziałem czysto formalnym. W przedstawionej sytuacji, gdy zbywca udostępnia dane oferentowi, to oferent decyduje się na przetwarzanie tych danych. Warto też wspomnieć, że orzecznictwo sądów administracyjnych stoi na jasnym stanowisku, że oferent pełni rolę administratora.
Przy skierowaniu osoby do Domu Opieki Społecznej (DPS) zazwyczaj podmiot wydający taką decyzję, wraz z nią wysyła dokumenty z danymi osobowymi skierowanej osoby jako podstawa dla swoich decyzji. Nie jest to jednak najwłaściwsza praktyka, biorąc pod uwagę zalecenia z przepisów o ochronie danych osobowych. Podmiot wydający decyzje o umieszczeniu w Domu Opieki Społecznej, czyli działający w imieniu starosty Powiatowe Centrum Pomocy Rodzinie (PCPR) przetwarza dane tylko do realizacji niezbędnych zadań wynikających z ustawy. DPS jako oddzielny podmiot po wydaniu decyzji o skierowaniu osoby do niego, przed jej przyjęciem wysyła pracownika celem zrobienia wywiadu środowiskowego, koniecznego do spersonalizowanego planu pomocy. Następnie osoba przyjmowaną oraz jej przedstawiciel ustawowy odbywa rozmowę z dyrektorem DPS-u lub osobą przez niego wyznaczoną m.in. o jego sytuacji, oraz warunkach pobytu. Wykonuje on zatem inne zadania niż PCPR przez co przetwarzają dane w innych celach oraz innymi środkami. W przypadku gdy DPS będzie potrzebował dodatkowych informacji, może on zwrócić się do odpowiedniego urzędu o ich udostępnienie.
Minister Edukacji i Nauki przychylił się do wniosków UODO o usunięcie zgody na przetwarzanie danych osobowych we wnioskach o wydanie opinii z państwowych poradni psychologiczno – pedagogicznych. Usunięcie tego wymagania to nie koniec zmian w tej sprawie, ponieważ trwają prace nad zreformowaniem poradni, aby podnieść jakość wsparcia udzielanego przez te poradnie. Projekt zakłada nie tylko będzie określał nowe zadania np. analizę na podstawie profilu biopsychospołecznego, ale wprowadzi najnowsze rozwiązania w dziedzinie ochrony danych osobowych.
Komitet Konwencji 108 przyjął „Wytyczne w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez i na potrzeby kampanii politycznych”, czyli zbiór praktycznych porad dla organów nadzorczych, regulatorów oraz organizacji politycznych w kwestii pogodzenia prawa do prywatności wyborców z działaniami związanymi z kampaniami politycznymi.
Działania ochronne Konwencji 108 i 108+ są szczególnie ważne w dzisiejszych czasach, gdzie mamy coraz częściej do czynienia z wykorzystywaniem naszych danych przy kampaniach politycznych choćby do mikrotargetowania co stanowi coraz większe zagrożenie dla demokratycznych zasad pluralizmu, autonomii jednostki, ochrony danych oraz podważa uczciwość wyborów i zaufanie w społeczeństwie do demokracji.
Islandia: urząd ochrony danych ukarał Ministerstwo Przemysłu i Innowacji oraz przedsiębiorstwo YAY ehf łączną kwotą 11.5 mln koron (70 900 euro) za nadmierne przetwarzanie danych za pomocą aplikacji służącej do obsługi rządowych bonów turystycznych. Ponadto w toku postępowania oprócz nadmiernego przetwarzania danych osobowych okazało się, że nie spełniono wymogów dotyczących zgody oraz nie zapewniono odpowiedniego bezpieczeństwa danych osobowych.
Źródło: uodo.gov.pl