Czy tworzenie kodeksów postępowania dla samorządów terytorialnych jest potrzebne?
Generalny inspektor ochrony danych osobowych (GIODO) widzi bardzo duży potencjał kodeksów postępowania, również takich, które odnosiłyby się do jednostek samorządu terytorialnego. Na pewno sprawdziłby się też w przypadku szkół, domów kultury czy ośrodków pomocy społecznej. Są też obszary, w których również sama administracja samorządowa może być adresatem norm zawartych w takich dokumentach. Urzędy gmin realizują przecież projekty otwartych danych, ponownego wykorzystania czy też dostępu do informacji publicznej. W takich sytuacjach pojawia się przykładowo pytanie: jak mają wyglądać mechanizmy anonimizacji czy pseudonimizacji. Stworzenie takich standardów może odbyć się na gruncie kodeksu.
Kto miałby się zająć przygotowaniem takiego kodeksu?
Ważne jest to, że kodeks musi być stworzony przez zrzeszenie lub organizację reprezentującą jakąś grupę podmiotów – więc nie przez jedną gminę. Ale przecież takie stowarzyszenia mamy w Polsce. Są to organizacje reprezentujące gminy, miasta i metropolie, powiaty czy samorządowe województwa.
Czyli może to być np. Związek Miast Polskich?
Tak, jak najbardziej. To jest rola organizacji zrzeszających jednostki samorządowe bądź organizacji, które skupiają podmioty o jednorodnym charakterze, np. jednostki pomocy społecznej czy muzea.
Powiedział pan, że jedna gmina nie może stworzyć kodeksu dla siebie?
Rozporządzenie nie przewiduje takiej możliwości, ale też nie miałoby to większego sensu. Kodeks ma przecież służyć tworzeniu standardu branżowego, a nie ustalaniu reguł obowiązujących w przypadku indywidualnego podmiotu.
Ale jeśli opracowaniem kodeksu nie miałoby się zająć zrzeszenie tak duże, jak przywołany przez pana Związek Miast Polskich, to przecież mamy organizacje regionalne. Wyobrażam sobie stworzenie takiego kodeksu np. przez podmiot zrzeszający np. gminy z jakiegoś obszaru. Nie zmienia to jednak faktu, że z perspektywy poszczególnych jednostek samorządowych najlepsze byłoby jednak stworzenie kodeksu na poziomie krajowym. Pytanie tylko, czy jest to wykonalne.
I pytanie: kto miałby się zająć stworzeniem takiego rozwiązania ogólnokrajowego?
To musiałaby być inicjatywa oddolna. Jako Biuro Generalnego Inspektora Ochrony Danych Osobowych bardzo do tego namawiamy. Kodeksu nie da się bowiem stworzyć odgórnie. Musi on być opracowany przy udziale wszystkich interesariuszy, którzy później będą z niego korzystać. GIODO zaś, jako organ nadzorczy, musi taki kodeks zatwierdzić.
A czy za stworzenie kodeksu mogłaby odpowiadać np. metropolia, taka jak niedawno powstała górnośląsko-zagłębiowska?
To jest dobre pytanie. Być może tak. Nie chciałbym jednoznacznie tego rozstrzygać. Do tej pory myślałem jednak o organizacjach stricte reprezentujących interesy grupy podmiotów, ale być może metropolia też będzie odpowiednia.
A czy takim podmiotem reprezentującym interesy grupy administratorów mogłoby być tak duże miasto, jak Warszawa dla swoich jednostek organizacyjnych, np. dla szkół?
Nie jestem przekonany, czy w takim przypadku można mówić o zrzeszeniu administratorów danych lub organie reprezentującym tych administratorów. Nie mam bowiem pewności, czy miasto będące organem prowadzącym szkoły można uznać za podmiot reprezentujący je jako administratorów danych. To będzie wymagało jednak głębszej analizy. Ze środowiskami samorządowymi na pewno będziemy nad tym pracować.
Rozporządzenie przewiduje podmioty monitorujące stosowanie kodeksów postępowania. Czy dotyczy to również samorządów i kto miałby być w ich przypadku takim podmiotem monitorującym?
W przypadku samorządu RODO wprost wyłącza przepisy mówiące o niezależnym podmiocie monitorującym przestrzeganie postanowień kodeksu. Podmioty publiczne przyjmują kodeks, który jest później jednym z elementów kontroli prowadzonej przez GIODO, w ramach uprawnień przysługujących mu jako organowi nadzorczemu.
Czy jest pan w stanie wskazać elementy, które mogłyby się w takim kodeksie dla samorządów znaleźć?
Wszystko zależy od tego, jakiego rodzaju podmioty byłyby jego adresatem. To mogą być różne elementy, w różnych podmiotach. Dla przykładu dla urzędu gminy czy miasta istotne może być określenie standardów w odniesieniu do obowiązków dotyczących udostępniania informacji publicznej, np. pseudonimizacji lub anonimizacji danych osobowych – to często są elementy bardzo problematyczne. Z kolei w przypadku ośrodka pomocy społecznej przydatne mogłoby się okazać np. doprecyzowanie zasad przetwarzania danych o stanie zdrowia.
Ustandaryzowanie tych obowiązków i różnych mechanizmów, które są wymagane przez RODO, mogłoby bardzo ułatwić zapewnienie zgodności postępowania przez jednostki samorządowe z ogólnym rozporządzeniem. Należy oczywiście pamiętać, że kodeksy nie wyłączają stosowania bezpośrednio obowiązujących przepisów prawa. Wszystkie zasady dotyczące legalności przetwarzania danych przez samorząd muszą być spełnione. Kodeks nie zastąpi przepisów prawa, które i tak regulują działalność samorządu. Ma on je uzupełniać.
Więcej o Kodeksach postępowania w najnowszym (3) numerze "Wspólnoty"
