Dzień dobry,
Nie mamy na razie integracji z e-Doręczeniami i zastanawiam się w jaki sposób EZD RP podchodzi do tematów RODO. Czy jeśli do systemu wpadnie przesyłka z e-Doręczeń, to jest tworzony/aktualizowany nowy kontakt w bazie kontaktowej, czy może dane związane z nadawcą nie są trwale zapisywane w systemie? Odnosi się to również do ADE nadawcy.
Moje pytanie wynika bezpośrednio z podejścia OW do ochrony danych osobowych. W przypadku kiedy mamy do czynienia z osobą fizyczną, to nie posiadamy żadnego upoważnienia aby jakiekolwiek dane (odnośnie nadawcy) udostępnione przez e-Doręczenia zapisywać w bazie systemu (OW nie jest właścicielem danych, więc nie może przekazać administrowania danymi innym podmiotom bez wyraźnej zgody właściciela danych). Z drugiej strony konieczne jest udzielenie odpowiedzi na wpływającą korespondencję - a więc konieczne są dane/adres. Z posiadanych przeze mnie informacji API e-Doręczeń nie umożliwia wysłania odpowiedzi na konkretny wpływ (co umożliwiałoby ominięcie problemu zapisywania w bazie systemu danych osobowych).
Czyli, z tego co rozumiem, dane o interesancie przychodzące wraz z korespondencją trafiają do bazy systemu?
Jeśli tak, to jest to niezgodne z regulaminem e-Doręczeń - stanowisko OW jest tutaj takie, że nie można bez wyraźnej (bezpośredniej) zgody osoby fizycznej zapisać tych danych w lokalnej bazie systemu obiegu.
rozwiń skrót OW, ponadto EZD RP nie jest systemem obiegu a system klasy EZD (Elektronicznego Zarządzania Dokumentacją). Żeby Ci odpowiedzieć napisz proszę do jakich dokumentów/opinii się odwołujesz
Bardzo dziękuję za odpowiedź. Pisząc o OW mam na myśli operatora wyznaczonego realizacji usługi e-Doręczeń, czyli Pocztę Polską.
W moim pytaniu powołuję się na aktualny Regulamin świadczenia PURDE i PUH oraz na Politykę świadczenia PURDE znajdujące się na stronie BIP Poczty Polskiej. Nie jestem ekspertem w tym temacie, aczkolwiek nasz dział RODO po przeanalizowaniu materiałów wykazał, że wg regulaminu oraz na ogólnych zasadach polityki RODO przywoływanych w regulaminie, wskazane jest, że dane osobowe przetwarzane powinny być wyłącznie w zakresie niezbędnym do realizacji usługi (PURDE/PUH) oraz do celów bezpośrednio związanych z doręczeniami.
Trudno tutaj mi się jednoznacznie określić jak pogodzić założenie e-Doręczeń polegające na uproszczeniu działania administracji publicznej i ogólnej wrażliwości (szczególnie w ostatnich latach) na przestrzeganie RODO, kiedy regulamin sugeruje (bo nigdzie jednoznacznie nie stanowi ani za ani przeciw), że dane nie mogą być swobodnie zapisywane w bazie systemów kancelaryjnych. Gdy jednak weźmie się pod uwagę, że w przypadku niewystarczająco precyzyjnego określenia zasad korzystania z usług stosują się zasady opisane w odpowiednich ustawach (tutaj w Rozporządzeniu o ochronie danych osobowych) należałoby założyć, że administrator nie może pozwolić na inne dysponowanie danymi osób fizycznych, dopóki użytkownik (np. urząd) nie jest w stanie wykazać odpowiedniej podstawy prawnej posiadania takich informacji.
Z tego co pamiętam takie też stanowisko miała PP/COI podczas spotkań z integratorami, chociaż tutaj nie mogę się niestety powołać na żadne pisane źródło, a jak wiadomo pamięć bywa zawodna.
Tak jeszcze na marginesie, to czy system obiegu nie zawiera się funkcjonalnie w systemie zarządzania dokumentacją? Zazwyczaj używałam tych terminów jako bliskoznaczne z zastrzeżeniem, że EZD będzie miał szersze zastosowanie i szczególne uwzględnienie podstaw prawnych (np. w kontekście administracji publicznej).
W obiegu zwykle mowa o dwóch pojęciach EOD i EZD, tyko niestety to nie to samo. EOD to Elektroniczny Obieg Dokumentów, potoczne określenie [systemu informatycznego do zarządzania obiegiem zadań oraz dokumentów działającego w oparciu o mechanizmy typu workflow. EOD skupia się głównie na automatyzacji i przyspieszeniu procesów dokumentacyjnych, zaś system EZD to system do elektronicznego zarządzania dokumentacją umożliwiający wykonywanie w nim czynności kancelaryjnych, dokumentowanie przebiegu załatwiania spraw oraz gromadzenie i tworzenie dokumentów elektronicznych.
Jeśli chodzi o e-doręczenia - przepraszam, ale nie znalazłem w Regulaminie usługi zapisu, który by sugerował, że dane nie mogą być zapisywane w bazie systemów kancelaryjnych. Jeśli są zapisywane to tylko aby usprawnić świadczenie usługi, zresztą w EZD RP są funkcje, które ograniczają dostęp do bazy kontaktów - zostało opisane to np. tu: https://podrecznik.ezdrp.gov.pl/dostep-do-kontaktow-osob-fizycznych/ Sam dostęp do dokumentów, które wpływają do jednostki i są z niej wysyłane mogą być ograniczone uprawnieniami w systemie.