Prace w Ministerstwie Cyfryzacji

A A A

Ministerstwo Cyfryzacji nadal pracuje nad materiałami edukacyjnymi w zakresie przepisów RODO. Pytań jest mniej, ale nadal walczymy z RODO-absurdami, wykorzystując całe spektrum działań edukacyjnych. Oprócz informatorów i poradników powstał cykl filmów „Oto RODO” w serwisie YouTube, a pracownicy ministerstwa są prelegentami podczas konferencji i szkoleń na terenie całego kraju. Ostatni z poradników, efekt pracy Grupy Roboczej ds. Ochrony Danych Osobowych, „RODO – zagadnienia ogólne”, opublikujemy wkrótce.



RODO dla administracji

Długo oczekiwany poradnik RODO dla administracji jest już dostępny na stronach Ministerstwa Cyfryzacji. Nowy przewodnik zaprezentował minister Marek Zagórski na konferencji prasowej 6.2.2019 r. W wydarzeniu wziął udział wiceminister spraw wewnętrznych i administracji, Paweł Szefernaker. Poradnik stanowi materiał edukacyjny zawierający odpowiedzi na 27 najczęściej zadawanych pytań. Jest to kolejny efekt prac Grupy Roboczej ds. Ochrony Danych Osobowych, kierowanej przez Dyrektora Departamentu Zarządzania Danymi dr. Macieja Kaweckiego. Poradnik opracowany dla administracji powstał w wyniku działania, wymiany poglądów i uzgadniania stanowisk praktyków, którzy zajmują się ochroną danych osobowych w urzędach publicznych.

Eksperci próbowali odpowiedzieć na dość często pojawiające się pytanie dotyczące pobierania zgody jako podstawy prawnej przetwarzania danych osobowych przez organy administracji publicznej (art. 6 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1; dalej: RODO).

Przepisy RODO nie zabraniają organom administracji publicznej przetwarzania danych na podstawie zgody osoby, której dane dotyczą. Administracja publiczna, co do zasady, nie może przetwarzać danych osobowych w oparciu o przesłankę prawnie uzasadnionych interesów (na podstawie art. 6 ust. 1 lit. f) RODO). Przykładem analizowanym przez autorów poradnika jest przetwarzanie danych na podstawie zgody przez organ administracji publicznej, gdzie urzędowy formularz (jego zakres reguluje przepis prawa) będzie dodatkowo przewidywał możliwość podania przez osobę, której dane dotyczą, jej danych kontaktowych (nr telefonu, adres e-mail). Wówczas przesłankę przetwarzania tych dodatkowych danych, stanowić będzie zgoda osoby (art. 6 ust. 1 lit. a) RODO). W takiej sytuacji konieczne będzie poinformowanie osoby, której dane dotyczą, o możliwości wycofania zgody oraz dobrowolności jej wyrażenia, a także wyraźne wskazanie w klauzuli informacyjnej, że zgoda dotyczy wyłącznie dodatkowych danych, pozostałe są bowiem pozyskiwane na podstawie – uregulowanego w przepisach prawa – obowiązku.

Praktycy zajmujący się ochroną danych osobowych, omawiając podobne przypadki wskazują, aby urzędy administracji publicznej unikały przetwarzania na podstawie zgody. W zakresie swoich zadań statutowych, merytorycznych i tam, gdzie to jest możliwe, powinny przetwarzać dane na podstawie prawnej wynikającej z przepisów ogólnych, resortowych (prawie krajowym i międzynarodowym) czyli de ­facto na podstawie art. 6 ust. 1 lit. c) i e). Wniosek, który płynie z prac Grupy Roboczej, sprowadza się do konieczności poszukiwania konkretnych przepisów prawa, inicjowania zmiany przepisów, na podstawie których opiera się przetwarzanie, aby w przypadku kontroli wykazać pełną zgodność z wymogami RODO. Oparcie przetwarzania o zgodę osoby, której dane dotyczą, rodzi problemy w przypadku jej cofnięcia. Dla mniejszych urzędów jest to problem organizacyjny i techniczny.

Na jednej z kolejnych stron poradnika znajdziemy odpowiedź na pytanie, czy oświadczenie o zapoznaniu się z klauzulą informacyjną jest konieczne przy każdej czynności, czy wystarczy czynność jednorazowa. Eksperci wskazują, że takie oświadczenie nie jest wymagane. Obowiązek informacyjny spełniamy tylko raz przy pozyskiwaniu danych osobowych osoby, której dane dotyczą (zbierane bezpośrednio art. 13 RODO) lub najpóźniej w ciągu miesiąca lub przy pierwszym kontakcie z tą osobą (art. 14 RODO). W przypadku kontroli musimy jednak wykazać, że jako administrator danych udzieliliśmy osobie, której dane dotyczą, wszystkich informacji, o których mowa w art. 13 lub 14 RODO.

Zdaniem ekspertów nie zachodzi potrzeba anonimizacji imion i nazwisk pracowników urzędu w protokołach z komisji rady i sesji rady gminy. Na mocy ustawy z 8.3.1990 r. o samorządzie gminnym (t.j. Dz.U. z 2019 r. poz. 506 ze zm.; dalej: SamGminU) obywatel ma prawo do uzyskania informacji, wstępu na sesje rady gminy i komisji, dostępu do protokołów posiedzeń organów gminy i komisji rady gminy, i innych dokumentów wynikających z wykonywania zadań publicznych. W tych protokołach znajdują się dane osobowe pracowników urzędu. Ograniczenie prawa dostępu do informacji nie jest możliwe, ze względu na prywatność osoby fizycznej, pełniącej funkcję publiczną lub mającej związek z jej pełnieniem.


Upoważnienie do przetwarzania danych osobowych

Członkowie Grupy Roboczej odpowiedzieli na pytanie dotyczące konieczności nadawania upoważnień do przetwarzania danych osobowych pracownikom podmiotu przetwarzającego lub samemu podmiotowi. Na mocy art. 29 RODO, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarza je wyłącznie na polecenie administratora. Po analizie przepisu eksperci podpowiadają, że upoważnienia może dokonać podmiot przetwarzający w zakresie, który określa polecenie administratora.

Kolejny casus to transmisja on-line posiedzeń rady gminy, rady powiatu oraz sejmiku województwa i pytanie o konieczność anonimizacji imion i nazwisk osób uczestniczących w posiedzeniach (w tym gości) widocznych podczas transmisji. Co do zasady, nie jest to konieczne. Przebieg obrad, np. rady gminy, ma być obowiązkowo utrwalany za pomocą urządzeń rejestrujących dźwięk i obraz, co wprost wynika z przepisów SamGminU.


 

Ważne

Anonimizacja może być konieczna na etapie publikacji i tylko w przypadku, gdy udostępnione informacje naruszałyby prywatność osoby fizycznej (gdy wiąże się to z ujawnieniem szczególnych kategorii danych osobowych).


Nie ma, zdaniem ekspertów, konieczności uzyskiwania zgody osób uczestniczących w sesji, ponieważ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Jeśli chodzi o obowiązek informacyjny, może być spełniony, np. w ogłoszeniu o sesji rady gminy (powiatu, sejmiku województwa) lub przed wejściem na salę obrad.

Tu dygresja dotycząca serwisów umożliwiających transmisję treści w formie wideo (np. YouTube), gdzie regularnie pojawiają się nagrania sesji rad samorządowych. W niektórych przypadkach korzystanie z takich serwisów może prowadzić do transferu danych poza EOG, co budzi wątpliwości ekspertów.

To tylko kilka z wielu zagadnień z poruszanych w poradniku. Znajdą tam Państwo próbę odniesienia przepisów RODO do ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560; dalej: ­CyberBezpU) i odpowiedź na pytanie dotyczące sposobu przetwarzania danych osobowych w umowach zawieranych po przeprowadzeniu postępowania o udzielenie zamówienia publicznego. Podjęto próbę dokumentacji z zakresu ochrony danych osobowych, niezbędną w jednostce samorządowej. Zachęcam wszystkich pracujących w administracji do lektury.


Ustawa wdrażająca

W dniu 3.4.2019 r. Prezydent RP, Andrzej Duda, podpisał pakiet przepisów dostosowujących polski porządek prawny do przepisów RODO. Zakończył się proces legislacyjny i ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia. Pakiet przepisów sektorowych zapewnia skuteczniejsze stosowanie RODO i zawiera wyłączenia w stosowaniu niektórych przepisów RODO, oczywiście w granicach, w jakich pozwala ustawodawca unijny. Przypomnieć trzeba, że najbardziej znaczące zmiany dotyczą ustawy z 26.6.1974 r. − Kodeks pracy (t.j. Dz.U. z 2018 r. poz. 917 ze zm.), ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2018 r. poz. 1000 ze zm.), ustawy z 6.6.1997 r. − Kodeks karny (t.j. Dz.U. z 2018 r. poz. 1600 ze zm.) i ustawy z 14.6.1960 r. − Kodeks postępowania administracyjnego (t.j. Dz.U. z 2018 r. poz. 2096 ze zm.). O tym szerzej pisałam w poprzednim wydaniu kwartalnika.


Rada ds. współpracy z kościołami i związkami wyznaniowymi w sprawach przetwarzania przez nie danych

Minister cyfryzacji powołał Radę ds. współpracy z kościołami i związkami wyznaniowymi w sprawach przetwarzania przez nie danych. Pierwsze posiedzenie inauguracyjne odbyło się 27.2.2019 r. To kolejne ciało opiniodawczo-konsultacyjne pod przewodnictwem dyrektora Macieja Kaweckiego. Z uwagi na wiele pytań kierowanych do urzędu w powyższych sprawach, wspieramy także te podmioty. Jednym z zadań Rady jest wsparcie ministra w kształtowaniu polityki przetwarzania danych, w tym danych osobowych, w obszarze działań kościołów i związków wyznaniowych. Rada ma także konsultować działania w zakresie przetwarzania i zabezpieczenia danych w zasobach i archiwach kościelnych.


Ciekawe rozstrzygniecie niemieckiego organu

Niemcy utrzymują 18 różnych krajowych organów ochrony danych (17 na szczeblu państwowym, 2 w Bawarii i 1 na szczeblu federalnym). Niemiecki Federalny Urząd Antymonopolowy (Bundeskartellamt) opublikował „informacje ogólne” w przedmiocie swojej decyzji (z 7.2.2019 r.) dotyczącej Facebooka. Decyzja Bundeskartellamt koncentruje się na praktyce Facebooka polegającej na łączeniu danych z Facebooka z gromadzonymi za pośrednictwem Instagrama czy WhatsAppa lub „serwisów podobnych do Facebooka”. Niemiecki Urząd połączył zgodę na przetwarzanie „niepotrzebnych” danych i uznał, że Facebook „może łączyć dane zebrane w ramach realizacji usług przez WhatsApp lub Instagram i przypisywać je do konta użytkownika Facebooka, jeśli użytkownicy dobrowolnie wyrażają zgodę na tę praktykę”. Podsumowując Bundeskartellamt wprowadził najbardziej osobliwą interpretację wymogów RODO, z którą nie zgadza się wielu niemieckich ekspertów ds. ochrony danych. Nie kwestionuje się prawa do wydania interpretacji RODO, ale samą jej treść.


Raport końcowy z prac Grupy do spraw Internetu Rzeczy

W październiku 2018 r., decyzją Przewodniczącego Komitetu Rady Ministrów ds. Cyfryzacji (Nr 7/2018), zmieniono zakres zadań zespołu „Od papierowej do cyfrowej Polski”. Obecnie do zadań zespołu należy wypracowanie koncepcji rozwoju e-usług, e-płatności i narzędzi je wspierających w następujących obszarach (strumieniach prac):

1) e-Sprawozdawczość;

2) Rejestry Rozproszone;

3) e-Transport i e-Przepływy Towarów;

4) Cyfrowe Usługi Publiczne, w tym e-Skrzynka i e-Doręczenie;

5) Zwiększenie Obrotu Bezgotówkowego;

6) e-Faktura i e-Paragon;

7) e-Edukacja;

8) Sztuczna Inteligencja (AI);

9) Internet Rzeczy (IoT).


Grupa Robocza ds. Internetu Rzeczy

W tych 9 obszarach minister cyfryzacji będzie skupiał swoje działania w najbliższej przyszłości. Jednym z nich jest IoT. Z tego powodu powstała Grupa Robocza ds. Internetu Rzeczy. Owocem jej prac jest analiza możliwości rozwoju technologii IoT w Polsce w kontekście wzmacniania rozwoju gospodarczego naszego kraju, ze szczególnym uwzględnieniem istniejących barier oraz rekomendacji dla polskiego rządu. Grupa jest moderowana przez ministerstwo, ale treść Raportu jest głosem jej członków. Powodem dla którego minister cyfryzacji powołał grupę, była chęć wejścia w dialog z sektorem prywatnym i środowiskiem naukowym, które przedstawi rządowi propozycje i kierunki działań.

Minister cyfryzacji w obszarze nowych technologii uznaje za konieczne przyjęcie znacznie bardziej „zwinnego” podejścia niż tradycyjne procesy kształtowania prawa. Oznacza to między innymi tworzenie tzw. inteligentnego prawa, czyli takiego, które wskazuje cele i zasady postępowania, a nie wiąże adresatów sztywnymi i konkretnymi wymogami. Inteligentne prawo pozostaje aktualne mimo ciągłego rozwoju technologii. Zwinne prawo to przyszłość. Taka jest konstrukcja prawa ochrony danych osobowych, jak i tzw. konstytucji dla biznesu, czy ­CyberBezpU. Warunkiem tworzenia dobrego prawa jest współpraca ze środowiskami biznesowymi i naukowym, bo to one generują wiedzę na temat możliwości wykorzystania rozwiązań, jak i wskazują zagrożenia jakie niesie nowa technologia.

Projekt Raportu jest już gotowy. Minister cyfryzacji przedstawi go na konferencji prasowej prawdopodobnie pod koniec kwietnia 2019 r. Publikacja wkrótce, jednak możemy już uchylić rąbka tajemnicy. „Raport końcowy z prac Grupy ds. Internetu Rzeczy” to wyczerpujący, dość obszerny materiał na temat możliwości i zagrożeń związanych z IoT. Pokazuje potencjał, jaki Internet Rzeczy przynieść może polskiej gospodarce, warunki rozwoju, analizy branżowe, postulowane inicjatywy legislacyjne i ciekawe pomysły − propozycje projektów na lata 2019−2020, które mogłyby być realizowane.


 

Ważne

Istotną częścią Raportu jest charakterystyka branż, które uznano za szczególnie obiecujące w kontekście rozwoju IoT w Polsce. W raporcie zidentyfikowano konkretne prawno-instytucjonalne przeszkody stojące na drodze upowszechnieniu stosowania rozwiązań IoT.


Grupa prezentuje rozwiązania, sprzyjające usuwaniu barier hamujących rozwój oparty o technologie IoT. Wnioski końcowe pozwolą uwolnić pełny potencjał gospodarki opartej na technologii Internetu Rzeczy. W kontekście barier horyzontalnych, w toku prac Grupy zidentyfikowano wiele problemów, braki specjalistycznej edukacji. Ramy prawne dotyczące IoT są nie do końca precyzyjne, niedostosowane do wyzwań, jakie niesie IoT, a poszczególne przepisy dotyczące IoT, o ile w ogóle istnieją, znajdują się w wielu odmiennych aktach prawnych. Stworzeniu środowiska prawnego przyjaznego IoT sprzyjać będą punktowe zmiany (np. podnoszące normy do standardów unijnych), których dokonać można bez konieczności tworzenia obszernych i kompleksowych nowelizacji. W Raporcie Grupa przedstawiła również ciekawe zastosowania urządzeń opartych o technologię IoT, których wykorzystanie przyniosło właścicielom wymierne korzyści. Istotną barierę stanowią również przepisy prawne dotyczące przetwarzania danych, w szczególności danych maszynowych oraz dzielenia się nimi. Jednym z wyzwań dotyczących innowacji jest ochrona własności intelektualnej.

Rekomendacje uwzględniają specyfikę danego sektora i przedstawiają plan działań na rzecz danej branży. Jednym z nich jest uregulowanie możliwości wymiany lub komercjalizacji informacji uzyskanych na bazie IoT, w zakresie, który nie narusza podstawowych zasad ochrony danych osobowych, tajemnic sektorowych lub zawodowych. Osiągniecie tego celu wymaga podjęcia działań mających na celu zmianę prawa. Kolejna propozycja to stworzenie programów wspierających jednostki publiczne na poziomie centralnym poprzez finansowanie, wsparcie przy wyborze technologii i jej wdrażaniu oraz promowanie dobrych praktyk w tym zakresie. Istotne dla twórców Raportu jest umożliwienie alokacji budżetów na wdrożenia szybkiej ścieżki pilotażowej dla rozwiązań z zakresu IoT.

W raporcie (a właściwie w jego projekcie, który jest materiałem do niniejszego artykułu) znalazły się propozycje projektów badawczych. Projekty „Monitoring jakości powietrza” oraz „Zintegrowana narodowa platforma dla Smart Cities” to tylko dwie z kilkunastu ciekawych propozycji. Zachęcam do lektury, publikacja raportu nastąpi wkrótce.


Mapa innowacji

W poprzednim artykule pisałam o szczególnym zainteresowaniu ministra cyfryzacji technologią sztucznej inteligencji (AI) oraz Internetu Rzeczy (IoT). Aby pokazać skalę wdrożeń w tym zakresie powstanie interaktywna mapa innowacji, dzięki której możliwy będzie szybki dostęp do informacji. Obecnie informacje są rozproszone, a dostęp do nich trudny i czasochłonny. Dane zbierane są poprzez ankietę, początkowo ankieta kierowana była wyłącznie do jednostek samorządu terytorialnego. Docelowo mapa będzie również zawierać informacje o jednostkach naukowych oraz prywatnych przedsiębiorcach. Chcemy, aby mapa była bodźcem do działania dla samorządów, w zakresie rozwoju nowych technologii. Pokazanie na mapie udanych projektów może stanowić dobry przykład dla innych jednostek samorządu terytorialnego i docelowo może prowadzić do rozwoju technologicznego państwa.

Posiadanie informacji w tym zakresie pozwoli Ministerstwu Cyfryzacji zlokalizować w Polsce obszary najbardziej i najmniej innowacyjne, i tym samym stymulować zrównoważony rozwój całego kraju. Pozwoli określić najczęstsze i najrzadsze zastosowania AI i IoT i stymulować rozwój w poszczególnych sektorach i koordynować i inicjować współpracę różnych środowisk w celu optymalizacji efektów. Określi wreszcie przybliżoną liczbę podmiotów wykorzystujących AI i IoT. Jako Ministerstwo będziemy mogli pokazać przykłady udanych wdrożeń.

Zachęcam do lektury naszych publikacji i śledzenia stron internetowych Ministerstwa Cyfryzacji.


Sylwia Bielińska - Główny Specjalista w Ministerstwie Cyfryzacji


Podstawa prawna

  • art. 6 ust. 1, art. 13, art. 14, art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1)
  • ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560)


Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Prace w Ministerstwie Cyfryzacji
Sylwia Bielińska
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny