Czy komendant straży miejskiej musi posiadać odrębną politykę ochrony danych?

Mam pytanie dotyczące obowiązków dotyczących wewnętrznej polityki i innej dokumentacji wymaganej przez przepisy o ochronie danych osobowych. Czy komendant straży miejskiej funkcjonujący w strukturach urzędu gminy musi opracować taką odrębną wewnętrzną politykę?

Art. 24 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami tego rozporządzenia. Zgodnie z ust. 2 tego artykułu – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania – powyższe środki powinny obejmować wdrożenie przez administratora odpowiednich polityk ochrony danych. W przepisach rozporządzenia nie przewidziano przy tym szczegółowych wymogów dotyczących zarówno zakresu merytorycznego, jak i formy dokumentacji ochrony danych. Biorąc pod uwagę jednak wynikającą z RODO zasadę rozliczalności, to od decyzji administratora zależy, w jaki sposób skonstruuje funkcjonujący u siebie system ochrony danych osobowych. Istotne jest aby przetwarzanie odbywało się zgodnie z RODO i aby administrator mógł to wykazać.

Wydaje się, że w przypadku podmiotów publicznych charakter, zakres, kontekst i cele prowadzonego przez nie przetwarzania wymagać będą zawsze wdrożenia odpowiednich polityk ochrony danych osobowych (trudno sobie wyobrazić aby podmiot publiczny mógł funkcjonować prawidłowo bez takich procedur). Warto zwrócić uwagę, że art. 24 ust. 2 RODO mówi o politykach ochrony danych osobowych, tak więc może to być więcej niż jeden dokument. Istotnym jest, aby swoim zakresem przedmiotowym i podmiotowym polityki te dotyczyły całości procesów przetwarzania prowadzonych u danego administratora i realnie wpływały na prawidłowość, bezpieczeństwo oraz przejrzystość przetwarzania.

W przypadku straży gminnej sytuacja jest o tyle specyficzna, że straż gminna jest jednostką organizacyjną gminy i może funkcjonować w strukturze urzędu gminy. Jednocześnie, ustawa z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. z 2018 r. poz. 928, z późn. zm.) w art. 10a ust. 2 wskazuje komendanta straży gminnej jako administratora danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).

Tym samym w części wykonywanych przez siebie zadań, straż gminna podlega pod inne niż RODO regulacje dot. ochrony danych osobowych. To powinna odzwierciedlać funkcjonująca w straży gminnej dokumentacja ochrony danych osobowych. Podkreślić również należy, że art. 31 ust. 4 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem
i zwalczaniem przestępczości nakłada na komendanta straży gminnej jako administratora danych obowiązek uwzględniania w polityce danych osobowych sposobu dokumentowania niezbędnych środków technicznych i organizacyjnych zapewniających prawidłowość przetwarzania danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Tym samym, przetwarzanie tej kategorii danych ze względu na jej specyfikę oraz regulacje prawne, którym podlega będzie różnić się od danych osobowych przetwarzanych na podstawie RODO.

Nie istnieje expressis verbis obowiązek regulowania na poziomie urzędu gminy, w odrębnej polityce, zasad przetwarzania danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości przez straż gminną. Jednakże dokumentacja taka w wielu przypadkach (m.in. z uwagi na odrębnego administratora, jakim jest komendant straży gminnej) musi uwzględniać również wymogi określone przepisami ustawy z dnia 14 grudnia 2018 r.

Trzeba też pamiętać, że każdy z administratorów funkcjonujący w ramach jednej jednostki organizacyjnej ma również, m. in. obowiązek prowadzenia rejestru czynności przetwarzania i rejestru naruszeń ochrony danych. Wyżej wskazane rejestry mogą stanowić załącznik do wspólnego dokumentu polityki ochrony danych, przy czym zadbać trzeba o dookreślenie, którego administratora one dotyczą. Podobnie jest z załącznikami takimi jak , np. zarządzanie uprawnieniami dostępu, czy też procedura nadawania upoważnień. W odniesieniu do nich również warto wyraźnie wskazać, co oznacza używane w nich pojęcie administrator.  

Podsumowując: administratorzy – wójt, burmistrz (prezydent miasta) oraz komendant straży – biorąc pod uwagę strukturę i realizowane przez nich zadania, jak również analizując dotychczasową zawartość dokumentu polityki, powinni dokonać oceny co do dalszego sposobu prowadzenia takiej dokumentacji. Każdy z administratorów – niezależnie od tego, czy będzie to wspólny dokument, czy odrębne polityki - musi być w stanie wykazać, że wywiązał się ze wszystkich ciążących na nim obowiązków wynikających z przepisów o ochronie danych osobowych. Im bardziej szczegółowo przedstawione są poszczególne procesy przetwarzania danych i związane z nimi procedury bezpieczeństwa, tym taki dokument będzie bardziej wartościowy i przydatny w procesie przetwarzania danych u danego administratora.

W sytuacji gdy nie będzie możliwości objęcia jednym dokumentem procesów i procedur funkcjonujących u różnych administratorów, stworzenie odrębnego dokumentu może ułatwić przestrzeganie tym administratorom przestrzeganie zasad ochrony danych i obowiązków określonych w różnych przepisach o ochronie danych osobowych. 

2019-10-07