Jak rozwiązujecie sytuacje w której błędnie skierowane pismo do waszej jednostki ląduje w EZD? Wedle przepisów przesyłka powinna być przechowywana przez Administratora danych osobowych do końca roku kalendarzowego w którym wpłynęła.
Katarzyno, czy możesz napisać o jakich przepisach mowa. Jak rozumiem ta przesyłka została zarejestrowana w systemie EZD jako pismo wpływające, bo został przegapiony fakt, że de facto była kierowana do innego podmiotu. Czy oprócz dekretacji były wykonywane jakieś czynności na tym piśmie- np. założona sprawa?
Art. 5 rozporządzenia stanowi zasady przetwarzania danych.
Zgodnie z jego zapisami przetwarzanie musi być m.in.
- zgodne z prawem (administrator musi umieć wskazać podstawy prawne dla przetwarzania danych osobowych)
- przejrzyste (osoba, której dane dotyczą powinny w sposób najbardziej czytelny i prosty, otrzymywać informacje o przetwarzaniu ich danych: podstawy, cel, czas przechowywania jej danych)
- ograniczone czasowo (administrator danych musi umieć wskazać termin przetwarzania. Musi wskazać podstawy/przyczyny dla wskazanego przez siebie konkretnego terminu)
- ograniczone przedmiotowo (minimalizacja danych: pozyskiwać tylko to, co jest koniecznie do realizacji celów administratora)
- rozliczalne (administrator danych musi umieć wykazać przestrzeganie powyższych zasad).
Art. 6 RODO stanowi podstawy, które czynią przetwarzanie danych zgodne z prawem:
Jest to :
- przepis prawny
- zgoda osoby, której dane dotyczą
- umowa z osobą, której dane dotyczą
- sytuacja, kiedy ratujemy życie osoby, której dane dotyczą
- jako podmiot niepubliczny realizujemy jakiś publiczny cel,
- mamy uzasadniony interes, który usprawiedliwia przetwarzanie danych osobowych.
Art.13 i art. 14 RODO konkretyzują zasadę przejrzystości, podając katalog informacji, jakie administrator danych powinien przekazać osobie, której dane dotyczą, w przypadku, kiedy wchodzi w posiadanie jej danych.
W zakres takiej informacji wchodzą m.in.:
- tożsamość administratora i jego dane kontaktowe
- dane kontaktowe inspektora ochrony danych;
- podstawę prawną i cele przetwarzania, do których mają posłużyć dane osobowe, d) kategorie odnośnych danych osobowych;
- skąd pozyskaliśmy dane,
- informacje o odbiorcach danych osobowych, jeśli dotyczy;
- okres przechowywania,
- informacje o prawach osoby, której dane dotyczą, w stosunku do jej danych, które posiadamy.
Casus
PPIS jest administratorem danych, czyli zarządcą danych osobowych osób, które z różnych przyczyn wchodzą w relacje z administratorem. Jednak zawsze trzeba umieć wskazać przyczynę, których katalog stanowi art. 6 RODO.
Dla PPIS jako organu administracji państwowej, podstawą przetwarzania jest obowiązek, mający swoje źródło w przepisach prawa. Jest podmiotem publicznych, realizującym zadania publiczne.
Poza ustawą kompetencyjną i przepisami prawa materialnego, postępowanie z dokumentacją reguluje Kodeks postępowania administracyjnego. Art. 65 Kpa wskazuje tok postępowania z dokumentacją „nie naszej” sprawy,
Jak powinno wyglądać przetwarzanie danych osobowych, w posiadanie których weszliśmy przez przypadek/na wypadek pomyłki podmiotu trzeciego?
Jako, że nie znajdujemy podstaw z art. 6 RODO, zatem logicznym jest, że takie bezpodstawne przetwarzanie powinno być ograniczone czasowo. Nie jesteśmy bowiem w stanie – realizując zasadę przejrzystości – wykazać jakiegoś terminu: pół roku, rok, dwa lata. Nie mamy podstaw prawnych, zatem nie wskażemy celu.
Nic nie usprawiedliwia gromadzenie danych osobowych dla sprawy bezcelowej.
Faktem jest wejście w posiadanie danych, zaistnienie ich w zasobach elektronicznych jednostki. Ponadto przekazując sprawę podmiotowi właściwemu rzeczowo, należy poinformować osobę, której dane dotyczą:
- o losie jego sprawy (fakt otrzymania jej omyłkowo i przekazania podmiotowi właściwemu)
- o losie jej danych.
Problem
Kancelaria przyjmuje pisma, sprowadzając je (papierowe) do postaci elektronicznej, po czym przekazują do dekretacji na biurko dyrektora.
Postępowanie to jest właściwe, zgodne z kompetencjami pracowników Kancelarii.
Badanie właściwości (rzeczowej i miejscowej) odbywa się na biurkach bądź Dyrektora, bądź pracownika komórki merytorycznej.
Tam pada decyzja o odesłaniu sprawy ‘podmiotu trzeciego’.
O ile sprawa jest jasna, oczywista i prosta w wykonaniu, jeśli idzie o realizację przepisów Kpa,
o tyle RODO generuje pytanie: jak PPIS ma realizować obowiązek informacyjny w sposób przejrzysty i rzetelny?
Brak informacji m.in. o granicznym terminie przetwarzania, czyli ten obowiązek nierzetelnym.
Warto podkreślić, że za informacją o terminie przetwarzania, powinny iść działania tj. usunięcie danych osobowych.
1 polubienie