Serwisy SMS

  • 22.01.2018

  • Autor: Krzysztof Mikulski

  • analizy

Wiele jednostek samorządowych – głównie gmin – oferuje swoim mieszkańcom sms-owe  systemy powiadomień. Treść sms-ów może być różna, ale w głównej mierze dotyczy ona powiadomień alarmowych  (zagrożenia kryzysowe), bieżących (komunikaty urzędu gminy dotyczące np. dat odbioru śmieci, czy wyłączeń prądu), czy też wydarzeń kulturalnych.

Informacja o możliwości „zamówienia” usługi znajduje się na stronie internetowej gminy, gdzie z reguły  zamieszczony jest  regulamin usługi. Usługi powiadamiania realizowane są bezpłatne. Na ogół wyrażenie zgody na otrzymywanie sms z systemu powiadomień polega na wysłaniu sms aktywującego, który w treści może zawierać rodzaj zamawianego serwisu. W podobny sposób zgoda ta jest odwoływana.

Jakie problemy pojawiają się do rozwiązania w aspekcie ustawy o ochronie danych

1. Czy numery telefonów użytkowników serwisu sms tworzą zbiór danych osobowych?

TAK – niekiedy  wystarczy jeden typ danych by zestaw danych był zakwalifikowany jako zbiór  (tu numer telefonu).

2. Kto jest administratorem danych?

Administratorem danych osobowych jest gmina – to ona decyduje o celu i sposobie przetwarzania danych.

3. Czy zgłaszać zbiór do GIODO?

TAK/NIE – o ile Gmina nie powołała ABI zbiór należy głosić w GIODO, w przeciwnym razie zbiór rejestruje ABI we własnym rejestrze ze względu na jego formę (system informatyczny).

4. Czy zapis w Regulaminie usługi deklarujący przetwarzanie  danych osobowych zgodnie z ustawą o ochronie danych przy równoczesnym zapisie, że wysłanie sms aktywującego stanowi akceptację Regulaminu jest równoznaczne z wyrażeniem zgody na przetwarzanie danych osobowych?

NIE – zgoda na przetwarzanie danych osobowych powinna zostać wyrażona odrębnie i nie powinno być żadnych wątpliwości, że dotyczyła ona właśnie przetwarzania danych osobowych. Ponadto należy spełnić obowiązek informacyjny wobec użytkownika serwisu polegający między innymi na  zadeklarowaniu celu przetwarzania danych i poinformowania o jego prawach ( np. w zakresie wglądu do danych, ich poprawiania czy możliwości wstrzymania ich przetwarzania).

5. Co jeśli czynności techniczne związane z obsługą systemu wykonuje firma zewnętrzna?

Nie zmienia to pozycji Gminy jako Administratora Danych Osobowych. Natomiast konieczne jest zawarcie umowy powierzenia z firmą, która prowadzi obsługę techniczną serwisu. W umowie niezbędne jest zawarcie zapisów dotyczących m.in. przestrzegania przez firmę ustawy o ochronie danych osobowych, poufności, obowiązku usunięcia zbioru danych po zakończeniu umowy i/lub jej przekazania wskazanemu podmiotowi, możliwości kontroli ze strony gminy. Istotne jest, aby firma której powierzyliśmy dane była wiarygodna.

Należy podkreślić, że po rozpoczęciu obowiązywania RODO (05.2018) obowiązki informacyjne Administratora Danych Osobowych wobec właściciela danych osobowych podobnie jak wymagania w stosunku do firm, którym powierzymy dane, zostaną rozszerzone. Ponadto na Administratorze będzie ciążył obowiązek udowodnienia wyrażenia zgody na przetwarzanie. Dlatego już teraz należy zwrócić szczególną uwagę na te aspekty przetwarzania danych.

Autor

Krzysztof Mikulski