O instytucji kultury mówimy, kiedy prowadzi ona działalność polegającą na tworzeniu, upowszechnianiu i ochronie kultury, co wynika z Ustawy o organizowaniu i prowadzeniu działalności kulturalnej. Formami organizacyjnymi działalności kulturalnej są w szczególności: teatry, opery, operetki, filharmonie, orkiestry, instytucje filmowe, kina, muzea, biblioteki, domy kultury, ogniska artystyczne, galerie sztuki oraz ośrodki badań i dokumentacji w różnych dziedzinach kultury. Wszystkie wyżej wymienione instytucje kultury, podobnie jak większość podmiotów, zostały objęte w 2018 roku przepisami ogólnego rozporządzenia o ochronie danych osobowych, czyli RODO. Przepisy RODO nakładają na dysponentów naszych danych osobowych wiele obowiązków i są niezwykle rygorystyczne. Ich przestrzeganie nadal rodzi wiele wątpliwości, a nieustannie pojawiające się informacje o ich naruszeniach wskazują, że wiedzę w tym obszarze nadal należy uzupełniać i poszerzać.
Czym jest RODO?
RODO to rozporządzenie UE o ochronie danych osobowych. Na jego podstawie 10 maja 2018 r. wprowadzono w Polsce Ustawę o ochronie danych osobowych, która uchyliła w całości jej poprzedniczkę, Ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Nowa ustawa została uchwalona z uwagi na fakt, że od 25 maja 2018 roku znalazły zastosowanie zmiany z zakresu ochrony danych osobowych, w związku z przyjęciem w kwietniu 2016 roku przez Parlament Europejski i Radę (UE) unijnego ogólnego rozporządzenia o ochronie danych osobowych – RODO.
Kiedy stosujemy RODO w instytucjach kultury?
Przepisy o ochronie danych osobowych wprawdzie nie wskazują poszczególnych form organizacyjnych działalności kulturalnej, ale nie zmienia to faktu, że przepisy związane z ochroną danych osobowych muszą być stosowane także przez instytucje kultury. Dzieje się tak, ponieważ przetwarzają one dane osobowe w związku z prowadzoną działalnością statutową oraz realizacją zadań wynikających z przepisów prawa.
Dane osobowe gromadzą np. biblioteki obsługując użytkowników oraz udostępniając im zbiory i prowadząc działalność informacyjną. Wykonywanie powyższych zadań wiąże się m.in. z gromadzeniem i dalszym przetwarzaniem danych osobowych czytelników bibliotek. Jednym z najistotniejszych wymogów dotyczących prawidłowości procesu przetwarzania danych jest adekwatność gromadzonych danych w stosunku do celu, dla którego mają być przetwarzane. W przypadku bibliotek ważnym celem zbierania danych osobowych czytelników bądź opiekunów czytelników małoletnich, jest poza wypożyczaniem pozycji ze zbiorów, pobieranie od czytelników opłat (kar) za niezwrócenie w terminie wypożyczonych pozycji, bądź też ich zniszczenie lub uszkodzenie. Tylko dzięki zebranym danym osobowym możliwe jest naliczanie opłat i ich egzekucja.
Udostępnianie możliwości rezerwacji miejsc i zakupów biletów za pośrednictwem Internetu dla takich instytucji kultury jak teatry, kina, opery, filharmonie itd. stawia te instytucje w szczególnej roli w zakresie przetwarzania danych osobowych klientów. I tutaj również ważne jest przestrzeganie adekwatności zbieranych danych. Jeśli bowiem zakupiony bilet zostanie klientowi przesłany elektronicznie na adres mailowy, nie ma konieczności pobierania danych adresowych. Są one konieczne jedynie w przypadku przesyłania zakupionych biletów na adres zamieszkania, pocztą lub kurierem.
Instytucje kultury również mają do czynienia z danymi osobowymi szczególnej kategorii (uznanymi za wrażliwe), np. w przypadku przetwarzania danych o stanie zdrowia w odniesieniu do pracowników lub ich rodzin w celu realizacji ich uprawnień wynikających z przepisów szczególnych, np. z uprawnień przysługujących pracownicy w ciąży.
Jaka dokumentacja w ramach RODO?
Tworząc dokumentację umożliwiającą ochronę danych osobowych w zakresie wymaganym przez RODO napotykamy na konkretne trudności. Wynika to z faktu braku precyzyjnych zapisów, jakie dokumenty powinna przygotować instytucja kultury, by chronić dane osobowe. Rozporządzenie mgliście wyjaśnia jedynie, że bezpieczeństwo danych można osiągnąć m.in. poprzez wdrożenie odpowiednich polityk ochrony danych. Wspomina także o rejestrze czynności przetwarzania oraz rejestrze kategorii czynności przetwarzania.
Chociaż rozporządzenie nie wymaga wprost utworzenia dokumentu zawierającego Politykę Ochrony Danych, może on być niezwykle użytecznym narzędziem w przypadku zaistnienia nieprawidłowości w ich przetwarzaniu.
Dokumentacja RODO składa się m.in. z procedury oceny skutków oraz reagowania na incydenty naruszenia danych osobowych. Dokument określający Politykę Danych Osobowych jest idealnym miejscem na zebranie wszystkich procedur w jednym miejscu. W ten sposób unikamy chaosu i bałaganu w dokumentacji.
Dokumentację odnoszącą się do ochrony danych osobowych oraz wskazaną w przepisach RODO możemy podzielić na kilka kategorii:
- zalecane:
a. polityka ochrony danych osobowych (zbiór wszystkich procedur RODO),
b. ewidencja upoważnień (umożliwia kontrolę liczby osób upoważnionych do przetwarzania danych osobowych w instytucji kultury oraz nadane zakresy upoważnienia),
c. materiały informacyjne dla pracowników (mają na celu podnoszenie świadomości pracowników w zakresie ochrony danych osobowych w instytucji kultury), - mocno zalecane:
a. procedura szkoleń (dokument opisujący zakres szkolenia personelu uczestniczącego w przetwarzaniu danych),
b. procedura audytu zewnętrznego (opisuje kto, w jaki sposób i w jakich okolicznościach kontroluje system ochrony danych osobowych w instytucji kultury),
c. kontrola podmiotów przetwarzających (dokument ten powstaje w sytuacji, kiedy ochronę danych zlecamy podmiotom zewnętrznym i ma na celu określenie w jaki sposób i kiedy kontrolujemy te podmioty),
d. opis środków bezpieczeństwa (dokument ten opisuje środki bezpieczeństwa, które stosujemy w ochronie danych osobowych w sferze: bezpieczeństwa, technicznej i informatycznej),
e. procedury IT (jest to opis sposobu zarządzania infrastrukturą IT, w której dochodzi do przetwarzania danych osobowych), - wymagane:
a. zasady retencji danych (dokument, który określa, w jaki sposób i kiedy usuwamy niepotrzebne już dane osobowe),
b. zasady privacy by design i privacy by default (jest to dokument, który mówi o tym, w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności, np. przy wprowadzanych w instytucji nowych projektach IT),
c. struktura organizacyjna w zakresie ochrony danych osobowych (określa, kto i za co odpowiada w zakresie funkcjonowania systemu RODO, np. Inspektor Danych Osobowych czy Administrator Systemów Informatycznych),
d. procedura nadawania upoważnień (definiuje, w jaki sposób i na jakich zasadach oraz komu nadajemy upoważnienia do przetwarzania danych osobowych),
e. postępowanie z incydentami ochrony danych osobowych (dokument opisuje, kto i w jaki sposób reaguje na incydenty ochrony danych osobowych),
f. ocena skutków dla ochrony danych osobowych (dokument definiuje, w jakich sytuacjach i w jaki sposób oceniamy skutki ochrony danych),
g. realizacja praw osób, których dane dotyczą (procedura wskazująca, kto i w jaki sposób realizuje prawa osób, których dane pozostają w dyspozycji instytucji kultury),
h. rejestr czynności przetwarzania (to opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji).
Dokumentacja wymagana przez RODO, choć w znacznej mierze fakultatywna, ma przede wszystkim na celu precyzyjne określenie zadań administratora danych osobowych. Wszystkie one mają służyć określeniu gotowych rozwiązań na różne możliwe sytuacje naruszenia nadanych osobowych. Ich celem jest stworzenie stałych wzorów zachowań i procedur, tak by każda osoba, która zmierzy się z taką sytuacją, była w stanie, na podstawie przygotowanej dokumentacji, poradzić sobie sama z rozwiązaniem problemu. Ważną rolą dokumentacji RODO jest także wsparcie pracowników w zakresie wdrożenia i zrozumienia dobrych zachowań w aspekcie bezpieczeństwa danych osobowych. Szkolenia są podstawową formą wdrażania procedur RODO w instytucji kultury.
Poziom zabezpieczeń danych osobowych jest różny w zależności od wielkości i rodzaju prowadzonej działalności kulturalnej. Ważne jest, by zawierała ona wartościowe i pomocne treści, które w sposób sprawny będzie można wykorzystać w przypadku zaistnienia sytuacji naruszenia danych.
Naruszenia RODO
Przepisy RODO precyzują, kto i w jaki sposób może przetwarzać dane osobowe. Za administrowanie i przetwarzanie danych osobowych w instytucji kultury odpowiada administrator danych osobowych, którym może być jej dowolna forma, np. wspomniana wyżej biblioteka czy teatr lub filharmonia. Drugim ważnym podmiotem jest procesor danych osobowych (zwany także podmiotem przetwarzającym). Przetwarza on dane w imieniu administratora danych osobowych. Najlepszym przykładem procesora będzie biuro księgowe. Administrator może także zatrudnić lub wyłonić z grona własnych pracowników inspektora danych osobowych, który w jego imieniu będzie monitorował sposób przetwarzania danych osobowych oraz informował pracowników przetwarzających dane osobowe o ich obowiązkach i doradzał im w tym zakresie. Jeśli administrator danych osobowych, np. dyrektor biblioteki, będzie w niewłaściwy sposób przetwarzał dane osobowe lub je utraci, to w oparciu o przepisy RODO czeka go surowa kara ze strony instytucji nadzorczych. Władze odpowiedzialne za ochronę danych (np. Urząd Ochrony Danych Osobowych UODO) mogą obecnie nakładać surowe kary finansowe: do 20 milionów euro lub 4% rocznego globalnego przychodu instytucji.
Polecamy temat: 25. Konferencja Branży Ochrony >>
W kontekście konsekwencji wynikających z nieprzestrzegania RODO należy rozpatrzyć przykład naruszenia danych osobowych w Ośrodku Kultury w Sułowicach. Ośrodek był administratorem danych osobowych swoich pracowników, a ich przetwarzanie powierzył podmiotowi zewnętrznemu (podmiotowi przetwarzającemu) bez zawarcia pisemnej umowy. Zlecił mu m.in. prowadzenie ksiąg rachunkowych, ewidencji i sporządzanie raportów (w obszarze finansów, podatków oraz ZUS) czy przechowywanie dokumentacji. Ponadto Ośrodek Kultury jako administrator danych nie przeprowadził weryfikacji podmiotu przetwarzającego, nie sprawdził, czy zapewnia on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych było zgodne z RODO. Organ nadzorczy w zakresie ochrony danych osobowych, czyli UODO, ustalił, że Ośrodek Kultury w Sułkowicach nie posiadał żadnych dokumentów potwierdzających weryfikację warunków współpracy z podmiotem przetwarzającym. Ponadto zwrócenie się do niego z prośbą o informacje, wyjaśnienia i zwrot lub udostępnienie przetwarzanych danych okazało się nieskuteczne. Wobec takiej postawy Ośrodka Kultury Prezes UODO w maju 2022 r. wszczął z urzędu postępowanie administracyjne w sprawie naruszenia przez Sułkowicki Ośrodek Kultury, jako administratora danych. W sierpniu 2022 r. ukarał urząd administracyjną karą pieniężną w kwocie 2500 zł. W tym przypadku należy podkreślić, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 10 000 złotych na państwowe i samorządowe instytucje kultury. Powyższy przypadek obrazuje, jak ważne są procedury zawarte w przepisach RODO oraz ich realizacja za pomocą wskazanej w przepisach dokumentacji.
Tekst: dr Anna Grabowska-Siwiec