Polityka prywatności ZHP

Księga klauzul i zgód

Inspektor ochrony danych

Procedura RODO dla instruktorów

Pytanie nr 1: Chcę jeszcze zauważyć, że problem z całością tego materiału polega na tym, że wszystkie działania związane z RODO prowadzone mają być w zasadzie na poziomie chorągwi a realnie prawie wszystkie te działania będą działy się w hufcach – jak ma to wyglądać w praktyce?

Odpowiedź: Trudno jest w krótkiej odpowiedzi w pełni zobrazować pełne spektrum procesów przetwarzania danych osobowych, jakie zachodzić będą zarówno w chorągwiach, jak i w hufcach, i przy tym ocenić, czy większość tych procesów zachodzić będzie właśnie we wspomnianych hufcach. Natomiast z całą pewnością można wskazać na kilka najistotniejszych aspektów te sytuacji:

• na podstawie analizy struktury stowarzyszenia, jakim jest ZHP, odrębnymi administratorami są:
• ZHP,
• Chorągiew ZHP,
• (oraz Muzeum Harcerstwa w Warszawie w zakresie prowadzonej przez ten podmiot działalności muzealnej).

Jak wynika z powyższego wylistowania, wśród administratorów danych osobowych nie znalazł się wspomniany w pytaniu hufiec. Jest to konsekwencja przede wszystkim tego, że na gruncie Statutu ZHP hufiec nie posiada osobowości prawnej. Ma to o tyle istotne znaczenie, że zgodnie z przepisami RODO, administratorem danych osobowych jest podmiot, który ustala cele i sposoby przetwarzania tych danych. RODO przypisuje administratorowi danych odpowiedzialność prawną za przetwarzanie tych danych. Oznacza to, że hufiec, będący terytorialną jednostką ZHP, nieposiadającą osobowości prawnej, podlega w zakresie procesów na danych osobowych właściwej mu chorągwi.

• W sytuacji, gdy administratorem danych osobowych będzie więc chorągiew, do której należą jej jednostki terytorialne – hufce. Oznacza to, że za wszelkie procesy przetwarzania danych osobowych w hufcach podległych danej chorągwi, odpowiedzialność ponosi właśnie ta chorągiew. Również chorągiew będzie określała cele i sposoby przetwarzania danych osobowy w chorągwi – ergo, tym samym w podległych jej hufcach.
• W praktyce to chorągiew (nie hufiec) będzie odpowiedzialna za wykonywanie obowiązków nakładanych na nią przez RODO. Ale jednocześnie to chorągiew będzie decydowała o tym, jakie procesy przetwarzania danych osobowych będą się odbywały we właściwych dla tej chorągwi hufcach oraz na poziomie całej chorągwi.
• Konsekwencją powyższego będzie również fakt, że tzw. „Polecenie przetwarzania danych osobowych” wydawane będzie przez komendanta chorągwi, lub przez inną upoważnioną do tego osobę w chorągwi. Osoby te będą też mogły udzielić dalszego pełnomocnictwa do wydawania Poleceń przetwarzania danych – szerzej na ten temat w punkcie 2. poniżej). Oznacza to, że to komendant chorągwi będzie decydował w treści pełnomocnictwa o osobach upoważnionych do przetwarzania danych osobowych w hufcu, lub o „dalszych” osobach upoważnionych do udzielania poleceń przetwarzania danych.
• Chorągiew będzie miała obowiązek prowadzenia (a) rejestru czynności przetwarzania, za które będzie odpowiadała jako administrator danych, oraz (b) rejestru kategorii czynności przetwarzania danych dokonywanych w imieniu administratora, za które będzie odpowiadała jako tzw. procesor. W treści ww. rejestrów uwzględnione zostaną również czynności przetwarzania danych osobowych mających miejsce w hufcu. Zapewnienie wykonania tych obowiązków przez chorągiew jest zadaniem Inspektora ochrony danych („IOD”).
• Odnośnie IOD, wskazania wymaga dodatkowo to, że osoba ta odpowiadać będzie (niezależnie od odpowiedzialności administratora – chorągwi) za przetwarzanie danych osobowych zgodnie z przepisami RODO i będzie czuwała nad właściwym przetwarzaniem danych osobowych w całej chorągwi, również w hufcu.
• Ponadto, komenda chorągwi będzie obowiązana diagnozować procesy przetwarzania danych w chorągwi oraz podległych jej hufcach. W ramach tego zadania komenda chorągwi będzie obowiązana wyznaczyć tzw. „Właścicieli Procesów” w celu przypisania poszczególnym osobom obowiązków w związku z rozpoczynaniem nowych lub istotnie zmienionych czynności przetwarzania – w odniesieniu do określonych czynności przetwarzania danych, właścicielami procesów mogą być członkowie komendy hufca lub inni instruktorzy ZHP.

Pytanie nr 2: Rozumiem, że w zasadzie każdy drużynowy musi otrzymać polecenie przetwarzania danych. Czy dobrze rozumiem procedurę: komendant chorągwi udziela pełnomocnictwa komendantowi hufca (nie ma tu wzoru rozumiem, że obowiązuje ten obozowy?) który wydaje polecenie przetwarzania w swoim hufcu? Gdzie należy rejestrować polecenia wydane w hufcu – czy w chorągwi czy każdy hufiec może prowadzić swój rejestr? W jaki sposób odwołuje się polecenie (czy wystarczy wskazanie daty w rejestrze?) 

Odpowiedź: Jeśli chodzi o samą procedurę udzielenia upoważnienia do przetwarzania danych osobowych – tzw. „Polecenia przetwarzania danych”, to wygląda ona w ten sposób, że zgodnie z § 61 ust. 1. pkt 3) Statutu ZHP (i z uwagi na fakt, że Polecenie przetwarzania danych osobowych nie jest związane z oświadczeniem woli w zakresie praw i obowiązków majątkowych), Polecenie przetwarzania danych osobowych podpisuje komendant chorągwi. Ponadto komendant chorągwi, działając jednoosobowo, może udzielić pełnomocnictwa np. komendantowi hufca do wydawania Poleceń przetwarzania danych osobowych w danym hufcu.

Nie oznacza to jednak, że Polecenie przetwarzania danych osobowych powinno być udzielone KAŻDEMU drużynowemu. Za każdym razem konieczne jest zbadanie, czy dana osoba faktycznie ma styczność w ramach swoich obowiązków służbowych z przetwarzaniem określonych danych osobowych, a jeśli tak, to w jakim zakresie. Warunkiem, bowiem udzielania jakiemukolwiek pracownikowi, zleceniobiorcy, wolontariuszowi lub osobie pełniącej funkcje instruktorskie dostępu do danych osobowych, w tym do systemów informatycznych służących do przetwarzania danych osobowych, jest to, że osoba ta faktycznie zajmuje określone stanowisko lub pełni określoną funkcję albo wykonuje szczególne zadania lub obowiązki jej powierzone, wymagające dostępu do danych osobowych.

Nie można, zatem udzielić drużynowemu, instruktorowi lub jakiejkolwiek innej osobie Polecenia przetwarzania danych osobowych „na zaś”, „na wszelki wypadek”. Niedopuszczalne jest wydanie Polecenia przetwarzania danych osobowych wykraczającego poza to, co niezbędne do wykonania powierzonych tej osobie zadań. Jeśli powierzone zadania służbowe faktycznie wymagają przetwarzania przez tę osobę określonych danych osobowych – dopiero wówczas powstaje potrzeba i zarazem możliwość udzielenia tej osobie Polecenia przetwarzania danych. Treść Polecenia przetwarzania danych osobowych powinna odpowiadać charakterowi zadań zwykle wykonywanych przez osoby zajmujące określone stanowisko lub pełniące określoną funkcję, którym mamy udzielić ww. upoważnienia.

Reasumując, Polecenie przetwarzania danych osobowych wydaje się osobie, która spełnia łącznie następujące warunki:

1. dostęp tej osoby do danych osobowych jest niezbędny do wykonania powierzonych jej zadań;
2. osoba ta daje rękojmię przetwarzania danych osobowych zgodnie z zasadą integralności i poufności.

Jeśli chodzi o wzór Polecenia przetwarzania danych osobowych to może ono zostać udzielone dwojako:

1. w sposób ogólny – w opisie stanowiska lub funkcji zajmowanej przez osobę, której udzielamy tego upoważnienia, albo
2. w sposób szczegółowy, w osobnym dokumencie – został przygotowany wzór Polecenia, stanowiący załącznik nr 12 do niniejszej Polityki bezpieczeństwa informacji, który został rozesłany do wszystkich biur chorągwi.

Z uwagi na to, że Polecenie przetwarzania danych osobowych może być zawarte w opisie stanowiska lub funkcji (czyli zazwyczaj w treści dokumentu umowy, uchwały o wyborze osoby na daną funkcję, czy też rozkazu), Polecenie to uważa się za wydanez chwilą zawarcia umowy będącej podstawą zatrudnienia na określonym stanowisku albo z chwilą wyboru na funkcję lub powierzenia jej pełnienia na mocy rozkazu. Polecenie takie uważa się za odwołane z chwilą rozwiązania umowy będącej podstawą zajmowania określonego stanowiska albo odwołania z określonej funkcji.

Polecenie przetwarzania danych osobowych zawarte w osobnym dokumencie uważa się za wydanez chwilą podpisania dokumentu przez komendanta chorągwi lub osobę umocowaną przez niego. Polecenie przetwarzania danych osobowych zawarte w osobnym dokumencie uważa się za odwołanez chwilą podpisania przez komendanta chorągwi lub osobę umocowaną przez niego dokumentu zawierającego oświadczenie o odwołaniu. Polecenie podlega odwołaniu, jeżeli upoważniona osoba przestała spełniać warunki, o których mowa powyżej.

Dodatkowo podkreślenia wymaga to, że Polecenie przetwarzania danych osobowych, bez względu na formę w jakiej zostało wydane, może być w każdym czasie odwołane.

Jeśli zaś chodzi o miejsce, w którym powinien być przechowywany rejestr wydanych Poleceń, to co do zasady rejestr taki prowadzi Inspektor ochrony danych – a zatem osoba funkcjonująca w chorągwi, nie w hufcu. Rejestr może również prowadzić inna wyznaczona przez niego osoba. Ewidencja taka zawiera między innymi imię i nazwisko osoby upoważnionej, zakres polecenia lub poleceń, datę wydania każdego z poleceń oraz datę odwołania każdego z poleceń. Wzór takiej Ewidencji również został rozesłany do chorągwi jako załącznik nr 13 do Polityki bezpieczeństwa.

Dodatkowo wymaga wskazania, że możliwym rozwiązaniem jest tu również prowadzenie takiego rejestru w formie elektronicznej w sposób zapewniający jednoczesny dostęp do danych komendy hufca i komendy chorągwi, np. przy wykorzystaniu narzędzi Office 365 – o czym w pytaniu poniżej.

Pytanie nr 3: Jak GK ZHP wyobraża sobie niszczenie książek pracy drużyny co 3 lata, skoro zawiera ona w sobie znaczną część będącą archiwaliami? Czy wystarczy usunięcie danych członków z książki a pozostawienie reszty książki pracy?

Odpowiedź: W zasadzie tak. Po upływie terminów przechowywania danych osobowych zawartych we właściwych dokumentach, w tym zawartych w Książce pracy drużyny (okresy retencji dla poszczególnych danych osobowych zawarte są w Załączniku nr 1 do Polityki bezpieczeństwa) wszelkie dokumenty wytworzone w toku pracy drużyny podlegają anonimizacji, po czym mogą być dalej wykorzystywane w formie zanimizowanej.

Forma zanonimizowana tych dokumentów stanowi tzw. „Archiwalia” i w tej formie dokumenty te powinny być przechowywane do czasu trwałego zaprzestania działalności przez ZHP – art. 42 i 44 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

Pytanie nr 4: W jaki sposób mamy niszczyć dokumenty wymagające zniszczenia? Jeśli ma to robić profesjonalna firma to, jeśli dobrze rozumiem odpowiedzialność za to spoczywa na Inspektorze w chorągwi, czyli na chorągwi?

Odpowiedź: W odniesieniu do danych osobowych przetwarzanych w sposób niezautomatyzowany, tj. w dokumentach (mogą być to kartoteki, skorowidze, księgi) usunięcie tych dokumentów polega na bezpiecznym zniszczeniu wszystkich materialnych nośników danych osobowych– tj.:

• w specjalnie przeznaczonej do tego niszczarce dokumentów;
• poprzez wrzucenie do specjalnego kontenera na dokumenty przeznaczonego do zniszczenia, obsługiwanego przez profesjonalnego dostawcę zewnętrznego;
• przez skierowanie do zniszczenia dokumentów archiwalnych.

W razie zaistnienia przesłanek ku temu, aby określone dokumenty zniszczyć, to faktycznie wówczas Inspektor ochrony danych osobowych niezwłocznie wydaje podmiotowi przetwarzającemu, z którego usług korzysta ZHP, lub określonej osobie, która dane te przetwarza, polecenie usunięcia danych osobowych.

Pytanie nr 5: Jakich danych osobowych możemy wymagać w porozumieniach wolontariackich z drużynowymi?

Odpowiedź: Ogólnie rzecz biorąc należałoby odpowiedzieć: niezbędnych do zawarcia i wykonania porozumienia wolontariackiego. Wniosek taki wynika z zasady minimalizacji danych wyrażonej w RODO.

Ujmując rzecz nieco bardziej praktycznie, należy stwierdzić, że dane zawarte w porozumieniu wolontariackim będą danymi niezbędnymi, jeśli zbierać będziemy przykładowo:

1. dane niezbędne do wykonania umowy wolontariackiej(art. 6 ust. 1 lit. b RODO) – czyli zapewne będzie to imię, nazwisko, nr PESEL, ewentualnie adres zamieszkania, jeśli zawarcie lub wykonanie umowy pomiędzy stronami wymaga prowadzenia między nimi korespondencji;
2. dane niezbędne do zapewnienia wolontariuszowi ubezpieczenia od następstw nieszczęśliwych wypadków (podstawą prawną przetwarzania tych danych będzie w tym przypadku obowiązek prawny ciążący na ZHP – art. 6 ust. 1 lit. c RODO) – będą to dane związane z ubezpieczeniem wolontariuszy, zapewne tożsame z danymi z pkt a) powyżej;
3. dane niezbędne do zapewnienia wolontariuszowi bezpiecznych i higienicznych warunków wykonywania przez niego świadczeń, w tym – w zależności od rodzaju świadczeń i zagrożeń związanych z ich wykonywaniem – odpowiednie środki ochrony indywidualnej (podstawą prawną przetwarzania będzie w tym przypadku obowiązek prawny ciążący na ZHP – art. 6 ust. 1 lit. c RODO) – jeśli w tym zakresie w ogóle będązbierane jakiekolwiek dane od wolontariusza to będą tożsame z danymi zbieranymi w tym celu od pracowników;
4. dane niezbędne do pokrycia kosztów podróży i diet, a także innych niezbędnych kosztów poniesionych przez wolontariusza (podstawą prawną przetwarzania tych danych jest obowiązek prawny ciążący na ZHP – art. 6 ust. 1 lit. c RODO) – w tym przypadku mogą być to dane, które będą niezbędne do dokonania prawidłowego rozliczenia z wolontariuszem;

Wskazania wymaga w tym miejscu również możliwość przetwarzania danych osobowych wolontariusza w celu prowadzenia szczególnego nadzoru nad miejscem wykonywania świadczeń przez wolontariuszyw postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). W tym przypadku podstawą prawną przetwarzania danych będzie prawnie uzasadniony interes ZHP (art. 6 ust. 1 lit. f RODO), polegający na zapewnieniu bezpieczeństwa osób, ochrony mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić ZHP na szkodę. Do danych tego rodzaju zaliczyć można wizerunek wolontariusza utrwalony przez urządzenia rejestrujące obraz.

W każdym przypadku przetwarzania danych osobowych wolontariusza, zbieranych w związku z wykonywaniem porozumienia wolontariackiego, możliwe jest przetwarzanie takich danych osobowych, co do których po pierwsze istnieje podstawa prawna przetwarzania tych danych (art. 6 lub art. 9 RODO), a po drugie dane te są niezbędne do osiągnięcia celu przez administratora danych.

Pytanie nr 6: Jak ma wyglądać potwierdzenie sprawdzenia umowy powierzenia przez inspektora? Czy wystarczy informacja mailowa czy musi być jakieś pismo?

Odpowiedź: Zgodnie z Rozdziałem 9 Polityki bezpieczeństwa, przed zawarciem umowy o powierzenie przetwarzania danych konieczne jest jej sprawdzenie i zaakceptowanie przez Inspektora ochrony danych.

Inspektor akceptuje projekt umowy, jeżeli zawiera on wszystkie postanowienia, o których mowa w ww. Rozdziale 9. Dopóki Inspektor nie sprawdzi i nie zaakceptuje projektu takiej umowy, jej zawarcie jest niedozwolone. W związku z tym komendant chorągwi, skarbnik chorągwi lub ustanowieni przez nich pełnomocnicy powinni przed zawarciem umowy upewnić się, czy jej projekt został sprawdzony i zaakceptowany przez Inspektora.

W związku z powyższym należy stwierdzić, że nie ma jednej, ustalonej formy, w jakiej Inspektor akceptuje projekt umowy powierzenia przetwarzania danych osobowych – może być to e-mail wyrażający taką akceptację, parafowanie tekstu umowy prze IOD itp. Ważne jest jednak, aby forma akceptacji była taka, ażeby w przyszłości nie powstały wątpliwości, co do tego, czy umowa ta faktycznie została zaakceptowana przez IOD (względy dowodowe).

Pytanie nr 7: Czy realizując dotacje z ministerstw musimy podpisywać z ministerstwami umowę powierzenia danych (w rozliczeniu przekazujemy np. listy obecności)?

Odpowiedź: Nie, nie jest to powierzenie przetwarzania danych osobowych, ponieważ ani ZHP nie przetwarza danych na rzecz organu administracji publicznej, ani organ administracji publicznej nie przetwarza danych na rzecz ZHP. Każdy z tych podmiotów realizuje własne, niezależne cele przetwarzania danych i w związku z tym jest ich administratorem. Przekazanie takich danych jest zatem udostępnieniem w relacji administrator – administrator.

Pytanie nr 8: Czy polecenia przetwarzania może każdorazowo być bezterminowe dla drużynowego?

Odpowiedź: Tak, trzeba jednak baczyć, czy nie zachodzi potrzeba dostosowania zakresu polecenia do zmieniających się okoliczności.

Pytanie nr 9: Przez kogo powinien być wypełniany rejestr czynności przetwarzania?

Odpowiedź: Rejestr czynności przetwarzania może być wypełniany przez Inspektora lub przez inną wyznaczoną przez niego osobę. Prowadzenie rejestru nie jest zadaniem zastrzeżonym przez RODO do wyłącznej kompetencji Inspektora. Zalecamy jednak, by

Pytanie nr 10: Czy klauzula wolontariusza musi być podpisywana również przez członków ZHP, którzy wcześniej podpisali deklarację członkowską?

Odpowiedź: Tak, ponieważ członek ZHP nie został wcześniej poinformowany o nowych celach przetwarzania, które wiążą się z zawarciem umowy wolontariackiej.

Pytanie nr 11: Czy rejestry polecenia przetwarzania danych osobowych mogą być prowadzone w hufcach po udzieleniu stosownych pełnomocnictw, a jeśli tak to czy powinny być przekazywane (co jaki czas) do chorągwi w celu archiwizacji?

Odpowiedź: Wydaje się, że nie ma przeszkód prawnych po temu, by rejestr udzielonych poleceń był rozproszony terytorialnie (prowadzony w hufcach), pod warunkiem, że dane zawarte w rejestrze będą łatwo dostępne z poziomu komendy chorągwi. Najlepszym rozwiązaniem wydaje się prowadzenie takiego rejestru w formie elektronicznej w sposób zapewniający jednoczesny dostęp do danych komendy hufca i komendy chorągwi, np. przy wykorzystaniu narzędzi Office 365.

Pytanie nr 12: Jak ma wyglądać potwierdzenie sprawdzenia umowy powierzenia przez inspektora? Czy wystarczy informacja mailowa czy musi być jakieś pismo?

Odpowiedź: Zgodnie z zasadą rozliczalności wynikającą z RODO, wywiązanie się z obowiązków przewidzianych w RODO powinno być należycie udokumentowane. Sposób udokumentowania jest obojętny – może być to zarówno pismo, jak i wiadomość email. Odnośnie okresu przechowywania takiego dokumentu – powinien on być zgodny z terminem retencji danych dla dokumentacji RODO (o czym powyżej).