Bezpieczeństwo informacjiCase studyPytania i odpowiedziRODO

Kto jest dysponentem danych osobowych w jednostce publicznej

„Wśród realizowanych przez nasz urząd zadań jest m.in. promocja i organizacja imprez miejskich. Kilka lat temu (jeszcze przed RODO) mieliśmy miejski Newsletter. Mieszkańcy wpisywali w rubrykę swoje adresy mailowe, wyrażając chęć otrzymywania informacji o tym, co dzieje się w mieście oraz zaproszenia na uroczystości. Pracownik, który wcześiej zarządzał bazą, uznał, że jest dysponentem powierzonych danych i nie może ich przekazać do innego wydziału, tym bardziej, że niektóre <<rekordy>> były wprowadzone do bazy bezpośrednio – z pominięciem newsletter’a jednakże właściciele maili byli zainteresowanie newsami z miasta. Nasz radca prawny stoi na stanowisku, że dysponentem danych jest Burmistrz, a ludzie, którzy chcieli otrzymywać informacje, a de facto w tej chwili ich nie otrzymują. Kto jest więc dysponentem danych osobowych w takiej sytuacji?”

Za działania związane z ochroną danych osobowych odpowiedzialny jest administrator danych – w tym przypadku jest to organ publiczny – czyli Burmistrz. Jest on uprawniony do przetwarzania danych osobowych i dysponowania nimi w ramach swojej organizacji z zachowaniem przepisów obowiązującego prawa. Pracownik nie może odmówić udostępnienia pozyskanej już wcześniej bazy adresów e-mail mieszkańców (zresztą za ich zgodą), ponieważ de-facto tworzył ją i utrzymywał na polecenie administratora danych i na jego pisemne polecenie wykonywał operacje przetwarzania.

Zostało to potwierdzone przez radcę prawnego i w mojej ocenie jest to prawidłowa interpretacja przepisów.

Jeżeli pracownik odmawia przekazania danych, które są niezbędne do kontynuowania obowiązków organu publicznego wobec mieszkańców, może w ten sposób naruszać zasady współpracy wewnątrz organizacji oraz wykonywania zadań publicznych. Pracownikowi, który ma „wątpliwości” co do słuszności takiego przekazania, można potwierdzić za protokołem przekazanie takich danych pomiędzy działami organizacji. Nie jest to konieczne z punktu widzenia prawa, ale daje obraz od kogo, kiedy i komu taki zbiór został przekazany.

Niezależnie od przedstawionego problemu i aby uniknąć w przyszłości zarzutów o pozyskiwaniu danych osobowych niezgodne z prawem, proponuję unikać wpisywania adresów bezpośrednio do bazy jeżeli nie można udokumentować, że stało się to na wniosek osoby, której dane dotyczą.

Podsumowując: Dysponentem danych osobowych jest Burmistrz.
Inne osoby mogą je przetwarzać wyłącznie na jego pisemne polecenie w granicach zapisanych w prawie.