Retencja danych osobowych w BIP
Interes publiczny wymaga udostępniania określonych przepisami informacji w BIP. Nierzadko w ramach publikowanych dokumentów znajdują się dane osobowe. Podmioty publiczne muszą więc nie tylko wiedzieć, jakie dokumenty publikować, ale także są zobowiązane do ustalenia okresu, przez jaki powinny być one udostępniane i przechowywane. To niełatwe zadanie, ponieważ przepisy najczęściej nie wskazują okresów publikacji i retencji danych.
Pogodzenie prawa do informacji publicznej z ochroną danych osobowych stanowi wyzwanie dla sektora publicznego. Udostępnianie danych osobowych w Biuletynie Informacji Publicznej wiąże się z dużą odpowiedzialnością, o czym przekonano się po nałożeniu administracyjnej kary pieniężnej na Burmistrza Aleksandrowa Kujawskiego. W konsekwencji pogłębiły się wątpliwości w zakresie tego, jakie dane mogą być udostępniane w biuletynie. RODO nie zakazuje udostępniania danych osobowych w BIP, co pośrednio wynika z motywu 154. Jednakże to, jakie dane się tam znajdą, powinno każdorazowo podlegać ocenie. Ani RODO, ani ustawa o dostępie do informacji publicznej jasno nie wskazują, jak taka ocena ma przebiegać i nie precyzują jak długo powinien trwać okres retencji danych osobowych.
Jak długo przechowywać dane osobowe w BIP?
Regulacja ustawowa w zakresie czasu przechowywania danych w BIP stanowi rzadkość. Najlepszym rozwiązaniem jest przyjęcie ogólnych kryteriów do określania okresów przetwarzania. W przypadku danych osobowych umieszczanych w BIP rekomenduje się:
- sprawdzenie czy dane wchodzą w skład ograniczenia z art. 5 ust. 2 ustawy o dostępie do informacji publicznej (np. czy nie stanowią tajemnicy przedsiębiorcy);
- zweryfikowanie podstawy prawnej przetwarzania (nie tylko z przepisów RODO);
- zbadanie aktualności danych;
- sprawdzenie celów przetwarzania;
- sprawdzenie adekwatności i prawidłowości przetwarzania.
Po wykonaniu tych czynności można przystąpić do ustalenia czasu przechowywania i terminu usunięcia danych. Należy pamiętać, że usunięcie danych ze strony BIP nie musi oznaczać całkowitego usunięcia danych. Odrębne przepisy mogą regulować kwestie archiwizacji i pozostawienie danych w zasobach organizacji.
Przykładowe okresy retencji danych osobowych w BIP
Nagranie sesji Rady Gminy | Wg przyjętej polityki retencji danych nagrania po okresie kadencji członków Rady Gminy są usuwane z BIP, ale pozostają dostępne w trybie wnioskowym. |
Oświadczenie majątkowe | Udostępnia się w BIP tak długo jak się je przechowuje, czyli 6 lat. |
Wyniki rekrutacji na stanowisko urzędnicze | Publikuje się przez okres 3 miesięcy. |
Więcej przykładów znajdziesz tutaj.
Jak zorganizować obsługę retencji danych w BIP?
Po ustaleniu terminów przechowywania danych osobowych w BIP, administrator powinien ustalić procedury, które uporządkują proces retencji. Ekspertka, dr Marlena Sakowska-Baryła, radzi w jaki sposób się do tego zadania przygotować. Do zorganizowania obsługi retencji danych wystarczy 7 prostych kroków:
- zinwentaryzuj dane;
- przejrzyj przepisy prawa regulujące udostępniane informacje;
- przeanalizuj cel/cele przetwarzania;
- przenalizuj udostępniane dane pod kątem zasady minimalizacji;
- zaangażuj personel poszczególnych komórek organizacyjnych;
- wyraźne wskaż momenty, kiedy dane powinny być przeglądane i usuwane;
- zapewnij spójność z rejestrem przetwarzania.
Pamiętaj, aby poszczególne etapy dokumentować. Nawet kiedy przeglądasz dane osobowe opublikowane w BIP, sporządź z tej czynności notatkę. W przypadku kontroli, to będzie dowód realizacji obowiązków wynikających z RODO. Sporządź również procedurę, która jasno wskaże czas przechowywania danych. Po jakimś czasie zweryfikuj jej aktualność i to jak sprawdza się w praktyce.
Więcej na temat retencji danych osobowych w BIP dowiesz się z nagrania ze szkolenia online, które poprowadziła dr Marlena Sakowska-Baryła. Znajdziesz je w LEX Ochrona Danych Osobowych.
Julia Magulska
Redakcja Publikacji Elektronicznych