Spotkanie było adresowane do inspektorów ochrony danych (IOD) z jednostek samorządowych i dotyczyło między innymi aktualnych problemów związanych z ochroną danych osobowych, z jakimi mierzą się podmioty przetwarzające dane osobowe osób szukających schronienia i pomocy w związku z sytuacją spowodowaną atakiem Federacji Rosyjskiej na Ukrainę. Przedstawicielka UODO omówiła zagadnienia związane ze stosowaniem przepisów RODO do przetwarzania danych osobowych osób przybywających z Ukrainy.

Stosowanie RODO

Monika Kurzajewska z Wydziału Współpracy z Inspektorami Ochrony Danych w Departamencie Orzecznictwa i Legislacji wskazała, że w ostatnim czasie Urzędowi Ochrony Danych Osobowych sygnalizowanych jest wiele wątpliwości i pytań związanych ze stosowaniem przepisów ogólnego rozporządzenia o ochronie danych (RODO) do przetwarzania danych osobowych osób przybywających z Ukrainy. Wyjaśniła, że takie przetwarzanie musi odbywać się z poszanowaniem zasad określonych w przepisach RODO, a obowiązki określone w tych przepisach muszą być wykonywane, tak jak w każdym innym przypadku. Zgodnie z RODO, każdy administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać.

Zasady, warunki i tryb udzielania cudzoziemcom ochrony na terytorium Rzeczypospolitej Polskiej przez właściwe organy zostały uregulowane w ustawie z dnia 13 czerwca 2003 r. o udzielaniu cudzoziemcom ochrony na terytorium Rzeczypospolitej Polskiej (t.j. Dz.U. z 2021r. poz. 1108). Kwestie ochrony czasowej reguluje art. 106 tej ustawy. Natomiast zgodnie z art. 107 ochrony czasowej udziela się na podstawie i w granicach określonych w decyzji Rady Unii Europejskiej, przez okres określony każdorazowo w tej decyzji.

W dniu 4 marca 2022 r. Rada (UE) wydała decyzję wykonawczą 2022/382 stwierdzającą istnienie masowego napływu wysiedleńców z Ukrainy w rozumieniu art. 5 dyrektywy 2001/55/WE i skutkującą wprowadzeniem tymczasowej ochrony.

Ustawa z dnia 12 marca 2021 r. o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa (tzw. specustawa) uwzględnia fakt wprowadzenia ochrony czasowej, określonej decyzją wykonawczą Rady (UE) 2022/382.

Niniejsza ustawa przewiduje procedurę uproszczonej legalizacji pobytu określonej w przepisach ustawy grupy osób przybywających z Ukrainy oraz kompleksowo reguluje wszelkie kwestie związane z ich pobytem jak również zakres świadczonej im pomocy.

W stosunku do określonej w specustawie grupy osób przybywających z Ukrainy zastosowanie znajdą przepisy specustawy, a nie przepisów Rozdziału 3 Działu III ustawy o udzieleniu cudzoziemcom ochrony na terytorium RP.

Przesłanki przetwarzania danych osobowych

W przypadku podmiotów publicznych co do zasady przetwarzanie danych osobowych może odbywać się po spełnieniu jednej z przesłanek określonych w art. 6 ust. 1 RODO i art. 9 ust. 2 RODO, w połączeniu z właściwymi przepisami szczególnymi określającymi zadania tych podmiotów. Dlatego wskazanie odpowiedniej przesłanki wymaga szczegółowej analizy konkretnych obowiązków/zdań realizowanych przez taki podmiot oraz przepisów prawa mających zastosowanie w określonej sytuacji. Analizę tę należy przeprowadzić w oparciu o dokładną znajomość wszystkich okoliczności fatycznych dotyczących rodzaju danych i ceków ich przetwarzania. W aspekcie określenia właściwej podstawy przetwarzania danych należy również uwzględnić status osoby przybywającej z Ukrainy (np. czy do niej znajdują zastosowanie przepisy ustawy z dnia 12 marca 2022 r.) – powiedziała Monika Kurzajewska.

Obowiązek informacyjny

W świetle przepisów RODO obowiązek informacyjny należy spełnić, o ile nie zachodzi jedna z przesłanek, która przewiduje możliwość zwolnienia z tego obowiązku. Zgodnie z art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, udzielić osobie której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Administrator powinien zatem dostosować się do odbiorców tych informacji. Dlatego, jeżeli administrator przetwarza dane osób innej narodowości niż polska, powinien zapewnić, aby informacje były przekazywane w języku dla nich zrozumiałym, a nie w języku, którego nie znają – w przeciwnym przypadku administrator nie będzie w stanie wykazać realizacji zasady przejrzystości i rozliczalności.

Jak wskazała prelegentka, w celu zapewnienia większej przejrzystości, rozważyć także należy warstwowe spełnienie obowiązku informacyjnego. W Wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679 przyjętych dnia 29 listopada 2017 r. można znaleźć przykłady w tym zakresie.

Rejestr czynności przetwarzania

Prelegentka przypomniała również, że nowy proces przetwarzania danych osobowych, np. udzielana pomoc obywatelom Ukrainy, zawsze powinien być poddany analizie administratora i znaleźć swoje odzwierciedlenie w prowadzonym przez niego rejestrze czynności przetwarzania. Właściwie opracowany i przygotowany rejestr czynności przetwarzania danych ułatwia, m.in. przygotowanie klauzuli informacyjnej skierowanej do osób, których dane są przetwarzane.

Zadania IOD

Prelegentka podjęła także temat zadań pełnionych przez inspektorów ochrony danych, którzy powinni na bieżąco reagować na zmieniające się potrzeby administratora związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, w tym podejmować działania doradcze lub związane ze szkoleniem osób przetwarzających dane osobowe.

***

Organizatorem Forum Inspektorów Ochrony Danych było Stowarzyszenie Wielkopolski Ośrodek Kształcenia i Studiów Samorządowych (WOKiSS), które zrzesza 275 jednostek lokalnych.

Źródło: https://uodo.gov.pl/pl/138/2338