Na pytania odpowiada Wojciech Rafał Wiewiórowski - generalny inspektor ochrony danych osobowych
Członkowie zespołów interdyscyplinarnych, których zadaniem jest koordynacja działań podejmowanych przez gminę w ramach przeciwdziałania przemocy w rodzinie, mają prawo do przetwarzania danych o osobach będących ofiarami przemocy i stosujących przemoc. Czy w związku z tym gminy obowiązują przepisy o ochronie danych osobowych?
Tak. Zespoły interdyscyplinarne w ramach wyznaczonych im zadań zbierają i wykorzystują szeroki zakres danych osobowych, w tym tzw. danych wrażliwych, np. o stanie zdrowia, nałogach czy skazaniach. Właśnie ze względu na szczególny charakter danych chciałbym mieć pewność, że wszystkie jednostki, które będą je przetwarzać, są do tego odpowiednio przygotowane. Dlatego wystąpiłem do Ministerstwa Spraw Wewnętrznych i Administracji o przekazanie do gmin informacji o obowiązkach związanych z ochroną danych osobowych i konieczności zgłoszenia zbioru danych osobowych do rejestracji do generalnego inspektora ochrony danych osobowych (GIODO). Do tej pory otrzymaliśmy takie zgłoszenia tylko od ok. 100 gmin.
A może mała liczba zgłoszeń wynika z tego, że gminy uważają, iż wystarczą oświadczenia o poufności informacji podpisywane przez członków zespołu?
Część gmin rzeczywiście może nie mieć takiej świadomości. Wiele z nich dopiero tworzy zespół. Z kolei te, które już funkcjonują, mogły jeszcze nie podjąć prac wiążących się z gromadzeniem danych osobowych. Gminy muszą jednak pamiętać, że każde przedsięwzięcie związane z przetwarzaniem takich informacji musi odbywać się w oparciu o przepisy ustawy o ochronie danych osobowych. Oświadczenia o zachowaniu poufności danych uzyskanych w związku z pełnieniem funkcji w zespole (które muszą podpisać jego członkowie) są tylko uzupełnieniem. Jest to o tyle ważne, że gminne zespoły interdyscyplinarne mają dostęp do danych szczególnie chronionych. Im mniejsza gmina, gdzie jest mniejsza anonimowość, tym większe zagrożenie wiąże się z ich udostępnieniem osobom nieupoważnionym.
Jak dane te powinny być prawidłowo zabezpieczane?
Zgodnie z ustawą o ochronie danych osobowych do ich przetwarzania mogą być dopuszczone tylko osoby mające upoważnienie nadane przez administratora danych. On też musi zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane. Trzeba zaznaczyć, że dostęp do tych informacji zyskają dwie grupy osób: członkowie zespołów interdyscyplinarnych oraz osoby, które będą się zajmowały ich obsługą, czyli pracownicy zatrudnieni w ośrodku pomocy społecznej. W przypadku gdy dane będą przechowywane w formie elektronicznej, konieczne będzie stosowanie odpowiednio zabezpieczonych systemów teleinformatycznych.