Istota funkcjonowania jednostek pomocy społecznej wiąże się z przetwarzaniem danych osobowych – przede wszystkim osób korzystających z tej pomocy. Na jakiej podstawie przetwarzać te dane? Jak zrealizować obowiązek informacyjny? Czy należy w związku z tym przeprowadzić ocenę ryzyka? Odpowiedzi na te pytania zależą od okoliczności konkretnego przypadku. Poznaj rozwiązania wybranych problemów z zakresu przetwarzania danych osobowych w pomocy społecznej.
W temacie tygodnia znajdziesz odpowiedzi m.in. na następujące pytania:
jak długo przechowywać dane osobowe klientów OPS,
czy w OPS konieczne jest przeprowadzenie DPIA,
z kim jednostki pomocy społecznej powinny zawierać umowy powierzenia przetwarzania danych,
jak realizować obowiązek informacyjny w pomocy społecznej.
Pytanie: Jak długo należy przechowywać dane klientów ośrodka pomocy społecznej?
Ośrodek pomocy społecznej może przechowywać dane klientów ośrodka przez okres nie dłuższy, niż jest to niezbędne do celów, w których ich dane są przetwarzane. Dla celów archiwalnych jest to okres wynikający z kategorii archiwalnej dokumentacji, zgodnie z obowiązującą w jednostce instrukcją kancelaryjną.
Oprócz tego administrator, czyli ośrodek powinien wdrożyć odpowiednie środki techniczne i organizacyjne. Po to, aby chronić prawa i wolności osób, których dane dotyczą. Przy określaniu okresu przechowywania danych lub kryteriów ustalania tego okresu administrator danych musi pamiętać, że przetwarzanie pozyskanych danych osobowych może być oparte o kilka różnych przesłanek. Przykładowo początkowo podstawą przetwarzania danych może być obowiązek prawny (art. 6 ust. 1 pkt c RODO), a w dalszej kolejności np. realizacja zadania publicznego (art. 6 ust. 1 lit. e RODO) lub prawnie usprawiedliwiony cel administratora danych (art. 6 ust. 1 pkt f RODO).
Tym samym może zaistnieć konieczność przechowywania danych osobowych wynikająca z innych celów, niż pierwotny cel zbierania danych. Dane osobowe klientów MOPS można przechowywać (licząc od momentu ich pozyskania) przez okres niezbędny dla realizacji obowiązków ustawowych lub zadań publicznych przez MOPS. W celach archiwalnych dokumenty można przechowywać przez okres wynikający z kategorii archiwalnej dokumentacji, zgodnie z obowiązującą w jednostce instrukcją kancelaryjną.
Pytanie: Ośrodek pomocy społecznej dopłaca do żywienia obiadowego dzieci uczęszczających do szkół i przedszkoli na terenie gminy. Następnie do wszystkich placówek wysyłamy informację z imieniem i nazwiskiem, adresem zamieszkania dziecka, kwotą i informacją o dopłacie do posiłku. Czy ośrodek musi podpisać z tymi placówkami umowy powierzenia przetwarzania danych?
Powierzenie przetwarzania danych innemu podmiotowi jest konieczne, gdy podmiot ten (np. w związku z realizacją określonej usługi, zadania dla administratora) wykonywać będzie operacje na danych osobowych w zakresie wskazanym przez administratora i na polecenie administratora. Procesor realizując usługę (zadanie) dla administratora, z którą łączy się przetwarzanie danych, nie realizuje zatem własnych celów przetwarzania danych osobowych. Podmiotem przetwarzającym może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot (art. 4 pkt 8 RODO).
Ośrodek pomocy społecznej realizując zadanie w zakresie pomocy społecznej, polegające na dożywianiu uczniów szkół (przyznanie posiłków czy dopłaty do posiłków) jest niewątpliwie administratorem danych uczniów korzystających z takiej pomocy. Jeśli OPS zleca dożywianie dzieci szkołom (gdy decyzja OPS dotyczy przyznania posiłku) bądź też przekazuje dane osobowe uczniów korzystających z dopłat do posiłków (imię, nazwisko, adres, kwota dopłaty) to powinien zawrzeć ze szkołami umowy powierzenia przetwarzania danych. Szkoły, które realizują zadanie żywienia dla dzieci z decyzją OPS o przyznaniu posiłku lub realizują decyzje OPS o dopłacie do posiłku przetwarzają dane uczniów na polecenie OPS i w celach wskazanych przez OPS.
Pytanie: Osoba składa wniosek o pomoc w ośrodku pomocy społecznej. Pomoc została przyznana w formie zasiłku celowego dla niego i jego współmałżonka oraz w formie dożywiana w szkole podstawowej i przedszkolu dla jego dzieci. Jak w takiej sytuacji wykonać obowiązek informacyjny?
Przetwarzanie danych osobowych wiąże się z wypełnieniem przez administratora danych, jakim jest ośrodek pomocy społecznej, obowiązku informacyjnego nie tylko względem bezpośredniego wnioskodawcy, ale i pozostałych osób których dane będą przetwarzane. W przypadku osób niepełnoletnich, w tym w wieku przedszkolnym , trudno oczekiwać składania przez nie podpisu potwierdzającego przyjęcie (zapoznanie się) z klauzulą. W tym przypadku wydaje się, że wystarczające będzie oświadczenie wnioskodawcy, czyli rodzica, połączone ze zgodą na przetwarzanie danych osobowych na potrzeby związane z uzyskiwaniem określonych świadczeń.
Alternatywnym rozwiązaniem są klauzule przetwarzania danych umieszczane na stronach internetowych ośrodków pomocy społecznej.
Pobierz wzór klauzuli informacyjnej:
Pytanie: Czy ośrodek pomocy społecznej ma w obowiązek przeprowadzenia DPIA? Należy nadmienić, że w ośrodku prowadzony jest monitoring wizyjny. Przetwarza również dane osobowe o stanie zdrowia klientów m.in. przy składaniu wniosków o zasiłek pielęgnacyjny.
RODO przewiduje dwa rodzaje analizy ryzyka:
ogólną ocenę ryzyka przetwarzania danych osobowych; oraz
ocenę skutków dla ochrony danych osobowych (DPIA).
Pierwszy rodzaj to obligatoryjna dla wszystkich administratorów ocena tego, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na ADO ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam ADO musi dokonywać okresowej ogólne oceny ryzyk zagrażających temu przetwarzania. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO ADO musi być w stanie wykazać przestrzeganie przepisów. Warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Ogólna ocena ryzyka można przeprowadzić z użyciem dowolnej metodologii. Musi ona jednak pozwolić na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – będzie to przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.
Powyższy artykuł wymaga, aby ocena zawierała:
systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Z samego faktu bycia ośrodkiem pomocy społecznej nie wynika obowiązek przeprowadzenia oceny skutków dla ochrony danych osobowych. RODO nie różnicuje bowiem obowiązku przeprowadzenia tzw. DPIA w zależności od rodzaju administratora danych osobowych. Udzielenie konkretnej odpowiedzi czy w konkretnym ośrodku pomocy społecznej musi być obowiązkowo przeprowadzone DPIA wymaga doskonałej znajomości przetwarzania danych osobowych w tym ośrodku tak, aby ocenić spełnienie wszystkich przesłanek obligatoryjnego DPIA. Istotne jest w szczególności, w jakim zakresie OPS używa nowych technologii. Samo stosowanie zwykłego monitoringu wizyjnego trudno uznać za nową technologię.
Pytanie: Jeśli rodzina bądź gmina potrzebuje umieścić daną osobę w domu pomocy społecznej, to składa całą dokumentację w ośrodku pomocy społecznej, następnie dokumentacja trafia do powiatowego centrum pomocy rodzinie, który jest odrębnym administratorem danych, w celu wydania decyzji administracyjnej o umieszczeniu w DPS. Następnie osoba jest umieszczana w DPS i znów dane tej osoby trafiają za nią do DPS (odrębny administrator). Czy PCPR w takiej sytuacji musi realizować obowiązek informacyjny?
Każdy administrator danych, niezależnie od jego statusu prawnego, objęty jest obowiązkiem informacyjnym wynikającym z art. 13 i 14 RODO. Obowiązek przekazania osobie, której dane dotyczą określonego katalogu informacji jest wyłączony jedynie w kilku przypadkach. Chodzi o wyjątki określone odpowiednio w art. 13 ust. 4 i art. 14 ust. 5 RODO, a także w art. 3 i 4 ustawy o ochronie danych osobowych.
Wyłączenie obowiązku informacyjnego z art. 14 RODO ma miejsce gdy – i w zakresie, w jakim:
osoba, której dane dotyczą, dysponuje już tymi informacjami;
udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku lub może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania;
pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Jeśli żadna z tych przesłanek nie jest spełniona, wówczas konieczność realizacji obowiązku informacyjnego ciąży także na PCPR, jako że jednostka ta przetwarza dane osobowe klienta.
Pytanie: Czy ośrodek pomocy społecznej, zawierając z zakładem ubezpieczeń umowę o ubezpieczenie grupowe, powinien jednocześnie zawrzeć umowę o powierzeniu przetwarzania danych jako administrator? Ośrodek podaje dane swoich pracowników do zakładu ubezpieczeń - celem ubezpieczenia grupowego
Powierzenie przetwarzania danych osobowych to jeden z dwóch, obok udostępnienia, sposobów uprawnienia innego podmiotu do przetwarzania danych osobowych znajdujących się w posiadaniu konkretnego administratora danych. Podmiot, któremu dane te zostały powierzone przez osoby, których dane dotyczą (tzw. podmioty danych), może przekazać dane osobowe innemu podmiotowi. Powierzenie przetwarzania danych osobowych pozwala w łatwy i szybki sposób uprawnić do przetwarzania danych osobowych podmioty, które normalnie nie mogłyby tego robić. Podmiot, któremu dane zostały powierzone do przetwarzania, jest nazywany ogólnie procesorem.
Jeżeli ośrodek ma mieć dostęp do danych osobowych, dla których administratorem jest zakład ubezpieczeń powinien je przetwarzać w oparciu o umowę powierzenia przetwarzania danych zawartą z tym zakładem ubezpieczeń. Ośrodek będzie wówczas tzw. procesorem (podmiotem przetwarzającym). W odwrotnej sytuacji w umowie powierzenia to zakład ubezpieczeń będzie procesorem a ośrodek administratorem danych. Nic nie stoi także na przeszkodzie aby – jeżeli jest taka potrzeba – zamiast dwóch umów powierzenia zawrzeć jedną umowę wzajemnego powierzenia danych osobowych. W takiej wzajemnej umowie powierzenia - w odniesieniu do różnych danych – administratorem byłby zarówno zakład ubezpieczeń jak i ośrodek. Oba te podmioty występowałyby także naturalnie w roli procesora.
Pytanie: Niejednokrotnie kwoty do odbioru depozytu po zmarłym mieszkańcu DPS są tak niewielkie, że spadkobiercy chcą załatwić sprawy odbioru depozytu bez konieczności bezpośredniego przyjazdu. Jakie obowiązki w takim przypadku ciążą na administratorze danych osobowych?
Kwestia bezpośredniej obecności podmiotu danych przy załatwianiu sprawy nie ma wpływu na podstawy prawne przetwarzania jej danych czy obowiązki ciążące na administratorze, a wynikające z RODO.
Administrator danych wykonując operacje na danych osobowych powinien legitymować się choćby jedną z przesłanek przetwarzania danych. Jak również przestrzegać zasad przetwarzania danych, o których mowa jest w ogólnym rozporządzeniu o ochronie danych (RODO). W przypadku podmiotów publicznych podstawa prawna przetwarzania danych osobowych wynika pośrednio z przepisów prawa nakładających na nie określone zadania publiczne i przyznających określone kompetencje. Wobec tego podstawami prawnymi przetwarzania danych, na które mogą powoływać się podmioty publiczne, są najczęściej przesłanki określone w art. 6 ust. 1 lit. c RODO (przetwarzanie jest niezbędne dla wypełnienia obowiązku prawnego ciążącego na administratorze) lub lit. e RODO (przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi). W przypadku danych wrażliwych są to odpowiednio art. 9 ust. 1 lit. b i lit. g RODO.
Jeśli zatem obowiązek podania danych osobowych przez osobę upoważnioną do odbioru depozytu jest niezbędny do realizacji wynikającego z przepisu prawa obowiązku prawnego ciążącego na administratorze albo do wykonania zadania w interesie publicznym, wówczas nie jest wymagane uzyskiwanie zgody tej osoby na przetwarzanie jej danych osobowych. Jedną z podstaw prawnych umożliwiających przetwarzanie danych jest także zgoda osoby, której dane dotyczą. Jednakże zgoda może być stosowana przez podmioty publiczne jedynie wtedy, gdy w danych okolicznościach nie ma możliwości powołania się na pozostałe przesłanki legalizujące przetwarzanie danych z art. 6 lub 9 RODO.
Jednostka publiczna, jak każdy inny administrator danych, objęta jest obowiązkiem informacyjnym wynikającym z art. 13 i 14 RODO. Należy pamiętać, że klauzula informacyjna nie jest tożsama ze zgodą na przetwarzanie danych osobowych. Zgoda jest bowiem jedną z podstaw dopuszczalności przetwarzania danych osobowych. Jeśli jednostka publiczna nie będzie mogła powołać się na jedno ze zwolnień z obowiązku informacyjnego (przewidzianych w RODO lub w ustawie o ochronie danych osobowych) wówczas będzie zobligowana przekazać osobie, której dane dotyczą (osobie uprawnionej do odbioru depozytu) informacje, o których mowa w art. 13 lub 14 RODO. Forma spełnienia obowiązku informacyjnego jest dowolna. Jednak zgodnie z zasadą rozliczalności administrator danych powinien umieć wykazać, że wypełnił obowiązek informacyjny zgodnie z wymogami RODO.
Pytanie: Czy ośrodek pomocy społecznej w kontakcie z innym takim ośrodkiem powinien dodawać do pism klauzule informacyjną?
RODO dotyczy ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Zawarte są w nim zasady i przepisy dotyczące przetwarzania danych osobowych osób fizycznych. Obowiązkiem każdego administratora danych jest powiadomienie osoby fizycznej, której dane dotyczą o przetwarzaniu jej danych, celach i sposobach przetwarzania, a także o przysługujących jej prawach. W przypadku pozyskania danych, od osoby której dane dotyczą zakres obowiązku określony został w art. 13 RODO. Sam obowiązek powstaje z chwilą pozyskania (zebrania) danych. W przypadku zaś pozyskania danych z innych źródeł (nie od osoby, której dane dotyczą) zakres wymaganych informacji wymienia art. 14. Obowiązek informacyjny powinien być spełniony w ściśle określonym terminie wskazanym w tym przepisie.
RODO nie ma zastosowania do przetwarzania danych osobowych dotyczących osób prawnych, w szczególności zaś przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (motyw 14 preambuły).
Wobec tego postanowienia RODO nakładające na administratora danych obowiązki informacyjne nie dotyczą przetwarzania danych osobowych dotyczących osób prawnych. Wprawdzie OPS nie ma statusu osoby prawnej jednakże wyłączenie to należy odpowiednio stosować do jednostek organizacyjnych i organów publicznych.
Zobacz także:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 4 – 6, art. 9, art. 13, art. 14, art. 35,
Ustawa z 10 maja 2018 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2018 r. poz. 1000 ze zm.) – art. 3, art. 4.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl