02.05.2023 11:08 | Źródło: bip.brpo.gov.pl / UODO

Tajemnica korespondencji radnych – RPO prosi PUODO o opinię

Korespondencja kierowana do radnych jest uprzednio otwierana i rejestrowana w urzędzie gminy. Pracownicy urzędu gminy mogą zatem zapoznać się z danymi osób, które w pismach mogą zgłaszać np. nieprawidłowości dotyczące działania urzędu. Zastępca RPO Stanisław Trociuk prosi o opinię prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka.

Do Rzecznika Praw Obywatelskich wpłynęło w ostatnich latach wiele wniosków radnych z różnych miejsc w Polsce. Zwracają uwagę, że kierowana do nich korespondencja jest uprzednio otwierana i rejestrowana w urzędzie.

Procedura obiegu korespondencji pozostaje kwestią techniczną i organizacyjną działania danego urzędu. Jednak skala wniosków kierowanych do RPO wskazuje na konieczność przyjrzenia się bliżej kwestii tajemnicy korespondencji radnych. Chodzi szczególnie o kontekst możliwego zapoznania się pracowników urzędu gminy z danymi osobowymi nadawców, którzy mogą zgłaszać radnemu nieprawidłowości dotyczące działania samego urzędu.

Zgodnie z ustawą o samorządzie gminnym radny utrzymuje stałą więź z mieszkańcami oraz ich organizacjami, a w szczególności przyjmuje zgłaszane przez mieszkańców gminy postulaty i przedstawia je organom gminy do rozpatrzenia.

Dlatego, Stanisław Trociuk zwrócił się do prezesa UODO o opinię w tej sprawie.

VII.501.92.2019

autor informacji: Katarzyna Kaleta-Sennik; data publikacji: 2023-05-02 08:54:52; osoba udostępniająca: Katarzyna Kaleta-Sennik;

opublikowano: 02.05.2023 / foto tematyczne: BRPO

KONSTYTUCJA RP GWARANTUJE

Art. 49. Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony.

Składanie skargi do UODO drogą elektroniczną https://uodo.gov.pl/pl/504/2246 ;

Jakie prawa daje Ci RODO? https://uodo.gov.pl/pl/504/2463 ;

Warto zapoznać się ze stanowiskiem UODO w kwestii telefonów, skrzynek e-mail - radnych samorządów terytorialnych.

Przepisy ustaw o samorządzie gminnym oraz o samorządzie powiatowym nie określają w jaki sposób radny powinien utrzymywać kontakt z mieszkańcami. Jednak dla prawidłowego funkcjonowania organów samorządowych radnym powinny być stworzone odpowiednie warunki, pozwalające na prawidłowe sprawowanie ich funkcji. Trzeba przy tym pamiętać, że radni w ramach kontaktów z mieszkańcami często mają styczność z danymi osobowymi, w tym także z tymi szczególnymi w rozumieniu art. 9 ust. 1 ogólnego rozporządzenia o ochronie danych RODO (np. dotyczącymi poglądów politycznych lub zdrowia osób).

Organ wykonawczy gminny lub powiatu, który sprawuje pieczę nad prawidłowością przetwarzania danych osobowych w jednostce, powinien wypracować jednolite praktyki w tym zakresie dla wszystkich radnych i wpisał je w ogólną koncepcję przetwarzania danych obowiązującą w danej jednostce samorządowej. Jednym z przykładowych rozwiązań mogłoby być korzystanie przez radnych ze służbowych telefonów i poczty elektronicznej, co powinno zapewnić lepszą ochronę danych osobowych (np. przed ich udostępnieniem osobom nieupoważnionym).

Radni powinni również zostać uświadomieni przez samorządowy organ wykonawczy w zakresie właściwego zabezpieczenia narzędzi komunikacji wykorzystywanych do wykonywania czynności służbowych. Należałoby również określić to, z jakich aplikacji i narzędzi można korzystać np. na telefonie służbowym oraz to do jakich celów telefon ten nie powinien być wykorzystywany.

Świadomość społeczeństwa w zakresie ochrony danych osobowych jest niezwykle ważna, dlatego wszyscy administratorzy powinni przeprowadzać regularne szkolenia wśród swoich pracowników na temat zasad przetwarzania danych osobowych, sposobów ich zabezpieczania itp.

Organ ds. ochrony danych w przeszłości (jeszcze jako GIODO) zalecał wdrożenie takich rozwiązań jak służbowe adresy poczty elektronicznej w kontaktach służbowych z radnymi w związku z przeprowadzoną kontrolą w jednym z urzędów miejskich.

UODO nie przeprowadzał jak dotąd kontroli, której zakres obejmowałby sposoby organizacji kontaktów radnych i pracowników samorządowych z mieszkańcami. Urząd zwraca jednak uwagę na to, czy dane są przetwarzane na służbowych urządzeniach. Praktyka wykorzystywania prywatnych urządzeń w ramach świadczenia pracy, podczas której dochodzi do przetwarzania danych osobowych, nie jest zakazana przez przepisy o ochronie danych osobowych jednak może prowadzić do większego ryzyka, gdyż administrator może wówczas nie mieć pełnej kontroli nad danymi. Prywatny sprzęt, który jest używany w celach zawodowych, musi posiadać niezbędne aktualizacje systemu operacyjnego (IOS lub Android), oprogramowania oraz systemu antywirusowego. Na bieżąco aktualizowane powinny być także zainstalowane programy antymalware i antyspyware. Przechowując dane na sprzęcie, do którego mogą mieć dostęp inne osoby, należy używać mocnych haseł dostępowych, a przed odejściem od stanowiska pracy urządzenie powinno zostać zablokowane.

Natomiast w przypadku naruszenia ochrony danych osobowych, to administrator ponosi odpowiedzialność za to, jak są przetwarzane dane osobowe.

W jednej ze spraw, w której administrator nie miał kontroli nad przetwarzanymi danymi osobowymi i doszło do naruszenia ochrony danych prezes UODO nałożył na administratora karę w wysokości 50 tys. zł. Decyzja ta dotyczyła Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie, której pracownikowi skradziono prywatny przenośny komputer. Używał on tego urządzenia także do celów służbowych bez wiedzy pracodawcy, w tym do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych. W sprawie tej w organ nadzoru uznał, że zastosowane przez uczelnię środki obejmujące proces przetwarzania danych kandydatów na studia były niewystarczające. Obowiązkiem administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych. Powinny być one na bieżąco poddawane przeglądom i uaktualniane do obowiązujących przepisów i zmieniającej się technologii. Treść decyzji w tej sprawie dostępna jest na naszej stronie internetowej pod linkiem /przekierowanie/: uodo.gov.pl/decyzje.

Jednocześnie informuję, że UODO w związku z pandemią COVID-19 i przejściem wielu podmiotów na system pracy zdalnej instruował administratorów danych m.in. o tym, że pracownicy powinni korzystać z urządzeń i oprogramowania przekazanego przez pracodawców oraz że nie należy instalować na nich programów, które nie są zgodne z przyjętą w danej organizacji procedura bezpieczeństwa.

Adam Sanocki, rzecznik prasowy, Urząd Ochrony Danych Osobowych

POLECANE

Jednostki pomocnicze w gminie Maków Podhalański - mają już nadane adresy skrzynek elektronicznych [e-mail] na serwerze urzędowym. - Kto, skontroluje dotychczasowe przetwarzanie danych osobowych?;

Nie można przetwarzać danych osobowych, nie mając podstawy prawnej;

Długa współpraca administratora z podmiotem przetwarzającym nie daje gwarancji bezpieczeństwa danych;