w w w . p r a w n i k w p o m o c y s p o ł e c z n e j . p l prawnikwpomocyspolecznej.pl - Aktualności

Aktualności

2015.03.26

- ODO - System Elektronicznej Platformy Informacji


    Niewątpliwie na powyżej postawione pytania, bez problemu odpowie administrator bezpieczeństwa informacji w Ośrodku, posiadający niezbędne wykształcenie, doświadczenie czy też staż zawodowy.

    Praktyka pokazuje jednak, że w mniejszych Ośrodkach Pomocy Społecznej, administratorem bezpieczeństwa informacji bardzo często zostaje pracownik socjalny bądź pracownik administracji, który z ochroną danych osobowych nie miał nigdy do czynienia.

    Wtedy odpowiedzi na powyżej zadane pytania nie przychodzą tak łatwo, zaś w obliczu propozycji przystąpienia do Systemu Elektronicznej Platformy Informacji, w tym konieczności wykonania licznych zabiegów prawnych, pracownik ten pozostaje bez wsparcia kogokolwiek.

    Wątpliwości jest wiele, zaś milczenie Generalnego Inspektora Danych Osobowych, brak jakichkolwiek pism, wytycznych bądź okólników ze strony administracji rządowej sprawiają, że tak jak większość nowinek w Ośrodku Pomocy Społecznej, możliwość elektronicznej współpracy z Powiatowym Urzędem Pracy, jest wprowadzana bez prawidłowego przygotowania kadry Ośrodka.


    Często działania te przekładają się jedynie na samo uczestnictwo i przystąpienie do realizacji projektu, z pominięciem regulacji prawnych sankcjonujących sposób, zasady i tryb udostępnienia danych osobowych w SEPI.


    Poniżej postaram się więc choć w podstawowym zakresie przybliżyć sens i uzasadnienie dla możliwości korzystania przez pracowników Ośrodka z Samorządowej Elektronicznej Platformy Informacji.

    Spora część Ośrodków (przynajmniej we wstępnej fazie wprowadzania systemów w poszczególnych powiatach) zrezygnowała z uczestnictwa w elektronicznej bazie danych, co z całą pewnością nie leży w interesie tak samych instytucji i pracowników w nich zatrudnionych, jak również klientów, którzy nadal muszą dokumentować swój status i sytuację zawodową korespondencją tradycyjną (zaświadczenie).

    Wszyscy wiemy, że tak zarówno przepisy ustawy o pomocy społecznej, jak również ustawy o świadczeniach rodzinnych, dają nam pełne uprawnienia w zakresie żądania informacji dotyczących osób i rodzin,korzystających ze wsparcia realizowanego przez Ośrodek (art. 105 ustawy o pomocy społecznej i art. 29 ustawy o świadczeniach rodzinnych).

    Przepisy te, w zestawieniu z upoważnieniem czerpiącym źródło w samej ustawie o ochronie danych osobowych (art. 23 ust. 1 pkt 2 ustawy), stanowią niepodważalną podstawę by twierdzić, że pracownik socjalny oraz pracownik świadczeń rodzinnych, może skutecznie domagać się danych o osobach korzystających ze wsparcia Urzędu Pracy.


   
Podstawę do stworzenia Samorządowych Elektronicznych Platform Informacji stanowią jednak przepisy ustawy o promocji zatrudnienia i instytucjach rynku pracy, a konkretnie art. 33 ust. 6 do 9 w/w ustawy.

    Aktualne brzmienie wcześniej wspomnianych regulacji zamieszczam poniżej.

Art. 33 ustawy o promocji zatrudnienia i instytucjach rynku pracy:

6. Informacje dotyczące bezrobotnych, poszukujących pracy i cudzoziemców zamierzających wykonywać lub wykonujących pracę na terytorium Rzeczypospolitej Polskiej są przetwarzane przez powiatowe urzędy pracy, w szczególności z wykorzystaniem systemów teleinformatycznych i dokumentów elektronicznych.

7. Informacje, o których mowa w ust. 6, są udostępniane publicznym służbom zatrudnienia lub innym podmiotom, realizującym zadania na podstawie ustawy lub odrębnych przepisów albo na skutek powierzenia lub zlecenia przez podmiot publiczny, w zakresie niezbędnym do prawidłowej realizacji tych zadań, w szczególności jednostkom organizacyjnym pomocy społecznej oraz jednostkom obsługującym świadczenia rodzinne.

7a. Informacje, o których mowa w ust. 6, w zakresie niezbędnym do realizacji zadań określonych w ustawie, mogą być pozyskiwane przez powiatowe urzędy pracy z publicznych służb zatrudnienia lub innych podmiotów, w szczególności jednostek organizacyjnych pomocy społecznej oraz jednostek obsługujących świadczenia rodzinne, realizujących zadania na podstawie ustawy lub odrębnych przepisów albo na skutek powierzenia lub zlecenia przez podmiot publiczny.

8. Informacje, o których mowa w ust. 6, mogą być pozyskiwane, wymieniane lub udostępniane na wniosek złożony, w szczególności w postaci elektronicznej, w trybie i na zasadach określonych w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne lub z wykorzystaniem systemów teleinformatycznych, jeżeli powiatowy urząd pracy oraz podmiot, o którym mowa w ust. 7, spełniają łącznie następujące warunki:

1) posiadają możliwość identyfikacji osoby uzyskującej informacje w systemie oraz zakresu, daty i celu ich uzyskania;
2) posiadają zabezpieczenia uniemożliwiające wykorzystanie informacji niezgodnie z celem ich uzyskania;
3) zapewniają, że dostęp do danych osobowych jest nadzorowany i rejestrowany zgodnie z przepisami o ochronie danych osobowych.

9.
Pozyskiwanie z powiatowych urzędów pracy lub od osób fizycznych informacji, o których mowa w ust. 6, przez podmioty, o których mowa w ust. 7, jest prowadzone przede wszystkim z wykorzystaniem systemów teleinformatycznych i dokumentów elektronicznych.


    Jak widać pracownicy Ośrodka Pomocy Społecznej posiadają umocowanie, tak zarówno do korzystania z systemu elektronicznego, w którym będą mieć dostęp do danych osobowych osób korzystających ze wsparcia Powiatowego Urzędu Pracy, jak również udostępniania danych osobowych o klientach korzystających ze wsparcia Ośrodka. Obie instytucje posiadają więc pełną legitymację do tworzenia systemów informatycznych w ramach których będą wzajemnie sobie udostępniać dane osobowe swoich podopiecznych.

    Przechodząc do oceny samej Platformy Informacyjnej, w tym do wymagań formalnych które musi spełnić Ośrodek, by z czystym sumieniem korzystać z powyższego dobrodziejstwa, wskazać należy na trzy podmioty, które poprzez powiązanie konkretnymi postanowieniami umownymi będą uczestniczyć w projekcie.

    Obok Ośrodka Pomocy Społecznej i Powiatowego Urzędu Pracy, w procedurze wzajemnego udostępniania sobie danych osobowych, musi wystąpić także trzecia strona, która odpowiedzialna będzie za obsługę systemu elektronicznej wymiany informacji.

    Najczęściej miejsce to zajmie przedsiębiorca świadczący usługi elektroniczne, który zapewni niezbędne oprogramowanie, dostępność serwerów obsługujących strony i wreszcie serwis wszystkich urządzeń i programów składających się na system przetwarzania danych osobowych.

    Prawidłowe ukonstytuowanie obecności / udziału pracowników Ośrodka w Platformie, można więc załatwić poprzez podpisanie jednego, trójstronnego porozumienia bądź dwóch odrębnych od siebie umów, które swoim zakresem będą wzajemnie się uzupełniać.

    Praktyka pokazuje, że Powiatowe Urzędy Pracy dbając jedynie o własne bezpieczeństwo, przedstawiają Ośrodkowi porozumienia, które działają w jedną tylko stronę, a mianowicie regulują jedynie możliwość udostępniania danych osobowych przez Powiatowy Urząd Pracy w Systemie, pomijając kwestię udostępnienia danych osobowych przez Ośrodek.


    W takim przypadku, Ośrodek Pomocy Społecznej nie może zaniedbać obowiązku umownego uregulowania kwestii związanych z udostępnianiem przez sam Ośrodek, danych osobowych w Systemie Elektronicznej Platformy Informacji.

    W omawianym przypadku, przyjmiemy rozwiązanie, w którym to Powiatowy Urząd Pracy w drodze porozumienia udostępnia dane osobowe Ośrodkowi. Dalej, drugim porozumieniem regulujemy udostępnienie danych osobowych przez Ośrodek – Powiatowemu Urzędowi Pracy. Wreszcie trzecim porozumieniem, tym razem z podmiotem obsługującym system (najczęściej profesjonalny przedsiębiorca świadczący usługi informatyczne) regulujemy kwestię obsługi informatycznej, przechowywania danych osobowych na konkretnie wskazanych serwerach i serwisu całego systemu informatycznego.

    Odpowiadając na pytanie, co powinno znaleźć się w umowie pomiędzy Ośrodkiem a Powiatowym Urzędem Pracy, w zakresie w jakim to Ośrodek udostępnia Urzędowi Pracy dane osobowe, wskazać należy, że minimalny zakres porozumienia powinien zawierać:

  1. Określenie stron umowy;
  2. Data zawarcia porozumienia;
  3. Słownik pojęć używanych w umowie;
  4. Przedmiot umowy – ustalenia, że to Ośrodek powierza dane osobowe Urzędowi Pracy;
  5. Klauzula zobowiązująca do przetwarzania danych tylko w celach przewidzianych w ustawie;
  6. Klauzula zakazująca wykorzystania danych w zakresie poza ustawowym oraz zakazująca przekazywania / udostępniania danych innym podmiotom;
  7. Klauzula pozwalająca na przetwarzanie danych osobowych tylko za pośrednictwem pisemnie upoważnionych przez Ośrodek pracowników PUP;
  8. Zakres udostępnianych danych osobowych – dokładne wskazanie jakie dane osobowe;
  9. Zakaz tworzenia własnych zbiorów danych przez PUP;
  10. Klauzula zezwalająca na rozwiązanie umowy za wypowiedzeniem przez obie strony;
  11. Klauzula określająca sposób likwidacji danych po wypowiedzeniu umowy;
  12. Klauzula zawierająca obostrzenia w zakresie zabezpieczenia systemu SEPI;
  13. Zadania powierzającego dane osobowe (dokumentacja taka jak polityka bezpieczeństwa itp., sposób przechowywania danych osobowych, prowadzenie ewidencji osób upoważnionych);
  14. Klauzula nakładająca na PUP obowiązek przeszkolenia pracowników upoważnionych do przetwarzania danych osobowych;
  15. Określenie administratora systemu SEPI (w tym zakresu jego obowiązków);
  16. Klauzula pozwalająca ustalić kto ponosi koszty eksploatacji stanowisk pracy, obsługi systemu;
  17. Zobowiązanie do przeszkolenia i odebrania stosownych oświadczeń przez PUP od swoich pracowników (np. oświadczenie o zachowaniu poufności, znajomości przepisów z zakresu ochrony danych osobowych);
  18. Nałożenie na PUP obowiązków związanych z nadzorem, prawidłowości i zgodności z prawem przetwarzania danych osobowych);
  19. Sposób i tryb zmiany danych osób upoważnionych do przetwarzania;
  20. Rozliczenia i kary umowne;
  21. Kontrola prawidłowości wykorzystania i przetwarzania danych osobowych;
  22. Zwrot dokumentacji, w przypadku rozwiązania umowy;
  23. Wzór upoważnienia do przetwarzania danych osobowych;
  24. Lista osób uprawnionych do przetwarzania danych osobowych;

    Jeżeli chodzi o umowę, w której to Powiatowy Urząd Pracy udostępnia Ośrodkowi dane osobowe, w porozumieniu tym powinno znaleźć się wszystkie powyżej wskazane zagadnienia, uwzględniając konwersję zadań i obowiązków nałożonych na Urząd Pracy oraz Ośrodek Pomocy Społecznej.

    Wreszcie w odniesieniu do porozumienia z podmiotem administrującym systemem, wskazać należy, że obok kwestii podniesionych powyżej, powinniśmy wskazać między innymi na sposób zabezpieczenia danych osobowych na serwerach, miejsce przechowywania serwerów na których zostaną zamieszczone dane osobowe, możliwość kontroli i udostępniania dokumentacji, możliwość zlecenia obsługi zadania podwykonawcom, termin na usunięcie wadliwego działania systemu, wreszcie zasady i tryb usuwania z serwerów danych osobowych, w przypadku rozwiązania porozumienia.

    Administrator bezpieczeństwa informacji w Ośrodku musi prowadzić rejestr osób uprawnionych w Powiatowym Urzędzie Pracy do przetwarzania danych osobowych pochodzących z Ośrodka, przechowywać pisemne upoważnienia do przetwarzania tego rodzaju danych przez pracowników PUP oraz pisemne pouczenia o zapoznaniu się z dokumentacją Ośrodka składającą się na system przetwarzania danych osobowych w Ośrodku.

    Te same obowiązki spoczywają na administratorze danych osobowych Powiatowego Urzędu Pracy, w zakresie dotyczącym pracowników Ośrodka.

    Przystępując do uczestnictwa w Systemie Elektronicznej Platformy Informacji, Ośrodek nie może zapomnieć o aktualizacji dokumentacji składającej się na system przetwarzania danych osobowych w Ośrodku, w tym zwłaszcza Polityki Bezpieczeństwa Przetwarzania Danych Osobowych bądź zarządzania systemem informatycznym Ośrodka.

    W dokumentacji tej należy uwzględnić nowy zbiór danych osobowych przetwarzanych w Ośrodku, określić strukturę logiczną tego zbioru (powiązania pomiędzy poszczególnymi polami informacyjnymi) oraz sposoby zabezpieczeń zastosowane do tego właśnie zbioru danych osobowych.

    W odpowiedzi na uzupełnienie polityki bezpieczeństwa przetwarzania danych osobowych w Ośrodku, administrator bezpieczeństwa informacji powinien zaktualizować rejestr zbiorów danych osobowych w Ośrodku, jak również listę osób uprawnionych do przetwarzania danych osobowych.


    Dalej, w dokumentacji tej powinniśmy określić sposób przepływu danych osobowych pomiędzy poszczególnymi systemami informatycznymi. W tym przypadku, System Elektronicznej Platformy Informacji będzie pobierał okresowo aktualizowane dane osobowe z systemu obsługującego Ośrodek (pomoc społeczna, świadczenia rodzinne oraz fundusz alimentacyjny). Tak pobierane dane powinny posiadać odpowiedni poziom szyfrowania i zabezpieczeń.

    Wreszcie wyjaśnić należy, że sam dostęp do Systemu Elektronicznej Platformy Informacyjnej (tak zarówno przez pracowników Ośrodka jak i Powiatowego Urzędu Pracy) obwarowany jest posiadaniem interesu prawnego oraz faktycznego w pozyskaniu konkretnych informacji o kliencie. Dane osobowe możemy więc pozyskiwać wyłącznie w sytuacjach, w których wyraźny przepis nas do tego upoważnia.

    Dostęp do Platformy nie może być traktowany jako nieograniczona wiedza na temat wszystkich klientów Ośrodka Pomocy Społecznej, zaś każde sięgnięcie po dane osobowe musi być poprzedzone wskazaniem podstawy prawnej (interes prawny) oraz powodu dla którego po dane sięgamy (interes faktyczny – na potrzeby toczącego się postępowania administracyjnego).

    To podstawowa zasada przy korzystaniu z systemu SEPI, która chroni naszych podopiecznych, przed nieuprawniony przetwarzaniem ich danych osobowych.


    Każdy wniosek (w wersji elektronicznej) o udostępnienie danych osobowych, powinien być odpowiednio odnotowany, umożliwiając weryfikację sposobu, celu oraz trybu w jakim przetwarzane są dane osobowe.


    Z uwagi na obszerność materiału, w artykule tym ograniczyłem się do niezbędnego minimum, które Ośrodek musi spełnić udostępniając dane osobowe w Systemie Elektronicznej Platformy Informacyjnej.

    Reasumując. System Elektronicznej Platformy Informacji ocenić należy pozytywnie. Dla zgodnego z prawem przetwarzania w nim danych osobowych potrzeba nie mało pracy i zaangażowania, jednak ostatecznie zakres korzyści w pełnym zakresie kłopot ten wynagradza.

    Szkoda jedynie, że tak zarówno Generalny Inspektor Ochrony Danych Osobowych, jak również samo Ministerstwo Pracy i Polityki Społecznej, nie miały sposobności przesłać do Ośrodków wytycznych i procedur w zakresie wdrażania informatycznego przepływu informacji pomiędzy Ośrodkiem a Powiatowym Urzędem Pracy, co w ostateczności skutkuje różnorodnością form i sposobów postępowania w poszczególnych powiatach.


Stan prawny na dzień: 25 marca 2015 r.

Wyraź swoją opinię i oceń artykuł:

"System Elektronicznej Platformy Informacji"




Komentarze, te dobre i te złe...

Add a comment

Title:
Your Name(*):
Email:
Reply Notify:
Website:
Comment(*):
Code in the picture: This is a captcha-picture. It is used to prevent mass-access by robots. (see: www.captcha.net)
 
Trackback-URL