W związku z rozpoczęciem realizacji Narodowego Programu Szczepień Ochronnych przeciwko SARS-CoV- 2, gminy zostały postawione w stan gotowości. Wojewodowie, czyli administracja rządowa w terenie, na podstawie art. 11h ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, wydali decyzje administracyjne polecające gminom organizację transportu osób niepełnosprawnych lub osób mających trudności w samodzielnym dotarciu do punktu szczepień (np. ze względu na wiek lub znaczne oddalenie punktu szczepień od miejsca zamieszkania). Ponadto, od 15 stycznia gmina ma uruchomić specjalną infolinię dla ww. osób.
Jakie czynności należy wykonać, aby zachować zgodność z RODO?
Określ, jakie dane osobowe będą przetwarzane?
Gmina w celu realizacji zadania będzie przetwarzać dane osobowe w zakresie imienia i nazwiska, adresu zamieszkania, nr telefonu, informacji o niepełnosparwności (tylko z kodem N i R – pamiętaj, żeby innych danych nie gromadzić), wyznaczonego punktu szczepień, daty szczepienia, oświadczenie o niemożności dotarcia do punktu szczepień we własnym zakresie.
Ustal podstawę prawną przetwarzania
Narodowy Program Szczepień Ochronnych jest zadaniem realizowanym w szeroko pojętym interesie publicznym, w związku z zapobieganiem pandemii Covid19, w związku z tym podstawą prawną do przetwarzania danych osobowych jest art. 6 ust. 1 lit. e (w stosunku do danych zwykłych) i art. 9 ust. 2 lit. i (w stosunku do danych osobowych szczególnej kategorii). Wojewodowie w swoich decyzjach wskazują podstawę realizacji zadania w art. 7 ust. 1 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Zadanie najczęściej jednak zostaje powierzone gminie jako zadanie zlecone z zakresu administracji rządowej.
Wykonaj analizę ryzyka
Stosownie do art. 24 i 32 RODO, administrator danych osobowych powinien zapewnić bezpieczeństwo danych osobowych przetwarzanych w związku z realizacją zadania, uwzględniając ryzyko naruszenia praw i wolności właścicieli danych. Organizacja transportu jako zdaniem gminy nie jest nowością (np. dowóz do szkół) – jednak zakres danych osobowych, które gminy będą pozyskiwać i sposób ich przetwarzania, w związku z organizacją transportu będzie miał nieco inny charakter. Dlatego, naszym zdaniem, na cały proces organizacji transportu trzeba spojrzeć z szerszej perspektywy. Należy określić, w jaki sposób dane osobowe będą przetwarzane: papierowo czy z wykorzystaniem systemu informatycznego? Jeżeli korzystamy z dobrodziejstw nowoczesnych technologii – to ustalcie jakich? Kto jest ich dostawcą? jakie mają zabezpieczenia? Kiedy dane podlegają archiwizacji? Czy pracownik wyznaczony do realizacji zadania jest pracownikiem gminy? Czy realizacja będzie zlecona podmiotowi zewnętrznemu.
Analizie trzeba poddać wszystkie aspekty przetwarzania począwszy od pozyskiwania informacji np. za pośrednictwem infolinii lub bezpośrednio z POZ, aż po dowiezienie osoby do punktu szczepień oraz rozliczenie dotacji.
Samo uruchomienie infolinii wiąże się z szeregiem decyzji: czy rozmowy będą nagrywane, czy na podstawie uzyskanych informacji dane będą spisywane i agregowane czy infolinia posłuży wyłącznie do celów informacyjnych. Ponadto jak informacje będą przekazywane od osoby je zbierające do osoby planującej transport.
Zwróćcie też uwagę ile podmiotów zaangażujecie w realizację zadania. Gmina może powierzyć zadanie ośrodkowi pomocy społecznej lub ochotniczej straży pożarnej, jednak nie pozbywa się zadania w całości – zawsze zostaje rozliczenie dotacji.
Zależnie od charakteru zlecenia zadania podmiotom podległym lub współpracującym przy realizacji zadania, pamiętajcie, żeby ocenić czy wymagana będzie umowa powierzenia przetwarzania (art. 28 RODO), czy może warto zawrzeć umowę współadministrowania (art. 26 RODO).
Po podjęciu kluczowych decyzji należy ocenić, czy zastosowane przez administratora na poszczególnych etapach realizacji zadania zabezpieczania są wystarczające? Być może znajdziesz jakieś luki (wyciek danych z systemu, błędne przyjęcie zgłoszenia, zbyt długi czas przekazywania informacji, nieprzeszkolony pracownik) i zabezpieczenia trzeba wzmocnić albo zmienić sposób działania. Wszystkie czynności związane z analizą ryzyka należy dokonać w oparciu o przyjętą w jednostce metodologię.
Uzupełnij Rejestr czynności przetwarzania
Czynność organizacji transportu na szczepienia jest czynnością, która powinna znaleźć swoje odzwierciedlenie w Rejestrze czynności przetwarzania. Może wystąpić jako samodzielna czynność lub można ją dodać do istniejącej już czynności organizacji transportu w gminie, w zależności od przyjętej metodologii prowadzenia rejestru. Na tym etapie określamy również kategorie odbiorców danych, czyli komu przekażemy dane osobowe.
Spełnij obowiązek informacyjny
Dopilnuj, żeby właściwy podmiot (administrator danych osobowych) opracował treść obowiązku informacyjnego zgodnego z art. 13 RODO i przekazać go osobom korzystającym z usługi dowozu. Należy pamiętać, że administratorem danych jest wójt/burmistrz/prezydent miasta, a ośrodki pomocy społecznej realizują zadanie w imieniu administratora. Należy więc w obowiązku informacyjnym poinformować właścicieli danych, że dane będą przekazywane do OPS.
Jakie czynności należy wykonać, aby zachować zgodność z RODO?
Określ, jakie dane osobowe będą przetwarzane?
Gmina w celu realizacji zadania będzie przetwarzać dane osobowe w zakresie imienia i nazwiska, adresu zamieszkania, nr telefonu, informacji o niepełnosparwności (tylko z kodem N i R – pamiętaj, żeby innych danych nie gromadzić), wyznaczonego punktu szczepień, daty szczepienia, oświadczenie o niemożności dotarcia do punktu szczepień we własnym zakresie.
Ustal podstawę prawną przetwarzania
Narodowy Program Szczepień Ochronnych jest zadaniem realizowanym w szeroko pojętym interesie publicznym, w związku z zapobieganiem pandemii Covid19, w związku z tym podstawą prawną do przetwarzania danych osobowych jest art. 6 ust. 1 lit. e (w stosunku do danych zwykłych) i art. 9 ust. 2 lit. i (w stosunku do danych osobowych szczególnej kategorii). Wojewodowie w swoich decyzjach wskazują podstawę realizacji zadania w art. 7 ust. 1 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Zadanie najczęściej jednak zostaje powierzone gminie jako zadanie zlecone z zakresu administracji rządowej.
Wykonaj analizę ryzyka
Stosownie do art. 24 i 32 RODO, administrator danych osobowych powinien zapewnić bezpieczeństwo danych osobowych przetwarzanych w związku z realizacją zadania, uwzględniając ryzyko naruszenia praw i wolności właścicieli danych. Organizacja transportu jako zdaniem gminy nie jest nowością (np. dowóz do szkół) – jednak zakres danych osobowych, które gminy będą pozyskiwać i sposób ich przetwarzania, w związku z organizacją transportu będzie miał nieco inny charakter. Dlatego, naszym zdaniem, na cały proces organizacji transportu trzeba spojrzeć z szerszej perspektywy. Należy określić, w jaki sposób dane osobowe będą przetwarzane: papierowo czy z wykorzystaniem systemu informatycznego? Jeżeli korzystamy z dobrodziejstw nowoczesnych technologii – to ustalcie jakich? Kto jest ich dostawcą? jakie mają zabezpieczenia? Kiedy dane podlegają archiwizacji? Czy pracownik wyznaczony do realizacji zadania jest pracownikiem gminy? Czy realizacja będzie zlecona podmiotowi zewnętrznemu.
Analizie trzeba poddać wszystkie aspekty przetwarzania począwszy od pozyskiwania informacji np. za pośrednictwem infolinii lub bezpośrednio z POZ, aż po dowiezienie osoby do punktu szczepień oraz rozliczenie dotacji.
Samo uruchomienie infolinii wiąże się z szeregiem decyzji: czy rozmowy będą nagrywane, czy na podstawie uzyskanych informacji dane będą spisywane i agregowane czy infolinia posłuży wyłącznie do celów informacyjnych. Ponadto jak informacje będą przekazywane od osoby je zbierające do osoby planującej transport.
Zwróćcie też uwagę ile podmiotów zaangażujecie w realizację zadania. Gmina może powierzyć zadanie ośrodkowi pomocy społecznej lub ochotniczej straży pożarnej, jednak nie pozbywa się zadania w całości – zawsze zostaje rozliczenie dotacji.
Zależnie od charakteru zlecenia zadania podmiotom podległym lub współpracującym przy realizacji zadania, pamiętajcie, żeby ocenić czy wymagana będzie umowa powierzenia przetwarzania (art. 28 RODO), czy może warto zawrzeć umowę współadministrowania (art. 26 RODO).
Po podjęciu kluczowych decyzji należy ocenić, czy zastosowane przez administratora na poszczególnych etapach realizacji zadania zabezpieczania są wystarczające? Być może znajdziesz jakieś luki (wyciek danych z systemu, błędne przyjęcie zgłoszenia, zbyt długi czas przekazywania informacji, nieprzeszkolony pracownik) i zabezpieczenia trzeba wzmocnić albo zmienić sposób działania. Wszystkie czynności związane z analizą ryzyka należy dokonać w oparciu o przyjętą w jednostce metodologię.
Uzupełnij Rejestr czynności przetwarzania
Czynność organizacji transportu na szczepienia jest czynnością, która powinna znaleźć swoje odzwierciedlenie w Rejestrze czynności przetwarzania. Może wystąpić jako samodzielna czynność lub można ją dodać do istniejącej już czynności organizacji transportu w gminie, w zależności od przyjętej metodologii prowadzenia rejestru. Na tym etapie określamy również kategorie odbiorców danych, czyli komu przekażemy dane osobowe.
Spełnij obowiązek informacyjny
Dopilnuj, żeby właściwy podmiot (administrator danych osobowych) opracował treść obowiązku informacyjnego zgodnego z art. 13 RODO i przekazać go osobom korzystającym z usługi dowozu. Należy pamiętać, że administratorem danych jest wójt/burmistrz/prezydent miasta, a ośrodki pomocy społecznej realizują zadanie w imieniu administratora. Należy więc w obowiązku informacyjnym poinformować właścicieli danych, że dane będą przekazywane do OPS.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie