Zakres odpowiedzialności współadministratorów
Zakres odpowiedzialności oraz podział zadań współadministratorów Systemu Wspomagania Decyzji
Zakres odpowiedzialności oraz podział zadań
Dokument określa zakresy odpowiedzialności związanej z wypełnianiem obowiązków i zadań współadministratorów danych osobowych oraz ich relacje względem siebie, względem osób, których dane dotyczą, względem innych jednostek ochrony przeciwpożarowej, które uzyskały dostęp do Systemu Wspomagania Decyzji Państwowej Straży Pożarnej (SWD PSP) oraz względem organu nadzorczego, w zakresie danych osobowych przetwarzanych w SWD PSP, funkcjonującego w jednostkach organizacyjnych Państwowej Straży Pożarnej w oparciu o art. 14g, 14h i 14ha ustawy z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (t.j. Dz. U. z 2020 r. poz. 961 ze zm.).
Ilekroć w dokumencie jest mowa o:
1) RODO – rozumie się przez to - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.;
2) ustawie o ochronie przeciwpożarowej – rozumie się przez to - ustawę z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (t.j. Dz. U. z 2020 r. poz. 961 ze zm.);
3) ustawie o systemie powiadamiania ratunkowego – rozumie się przez to - ustawę z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (tj. Dz. U. z 2018 r. poz. 867, 1115, z 2019 r. poz. 730);
4) ustawie prawo geodezyjne i kartograficzne – rozumie się przez to - ustawę z dnia 17 maja 1989 r. - Prawo geodezyjne i kartograficzne (Dz. U. z 2010 r. Nr 193, poz. 1287, z późn. zm.);
5) ustawie prawo telekomunikacyjne – rozumie się przez to - ustawę - Prawo telekomunikacyjne (t.j. Dz. U. z 2018 r. poz. 1954, 2245, 2354, z późn. zm.);
6) rozporządzeniu ksrg – rozumie się przez to - Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 lipca 2017 r. w sprawie szczegółowej organizacji krajowego systemu ratowniczo-gaśniczego (Dz.U. z 2017 poz. 1319 z późn. zm.);
7) administratorze - rozumie się przez to - Komendanta Głównego Państwowej Straży Pożarnej, komendantów wojewódzkich Państwowej Straży Pożarnej, komendantów powiatowych (miejskich) Państwowej Straży Pożarnej, Rektora-Komendanta Szkoły Głównej Służby Pożarniczej, komendantów szkół Państwowej Straży Pożarnej;
8) współadministratorze - rozumie się przez to - Komendanta Głównego Państwowej Straży Pożarnej, komendantów wojewódzkich Państwowej Straży Pożarnej, komendantów powiatowych (miejskich) Państwowej Straży Pożarnej, Rektora-Komendanta Szkoły Głównej Służby Pożarniczej, komendantów szkół Państwowej Straży Pożarnej;
9) SWD PSP – rozumie się przez to - System Wspomagania Decyzji Państwowej Straży Pożarnej funkcjonujący w oparciu o art. 14 g i 14 h ustawy o ochronie przeciwpożarowej;
10) PSP - rozumie się przez to Państwową Straż Pożarną;
11) SWP – rozumie się przez to - System Wymiany Plików – oprogramowanie i sprzęt będący w wyłącznej dyspozycji i administracji Komendy Głównej PSP lub komend wojewódzkich PSP, oparty na mechanizmie chmury danych lub innym mechanizmie zapewniającym rozliczalny i bezpieczny dostęp oraz wymianę plików;
12) IOD – rozumie się przez to - Inspektor Ochrony Danych właściwy dla danej jednostki PSP, wyznaczony na podstawie art. 37 RODO;
13) UODO – rozumie się przez to – Urząd Ochrony Danych Osobowych;
14) OSP – rozumie się przez to – jednostki Ochotniczych Straży Pożarnych;
15) CPR – rozumie się przez to – centra powiadamiania ratunkowego, o których mowa w art. 3 ust 2 ustawy o systemie powiadamiania ratunkowego;
16) KDR – rozumie się przez to – kierującego działaniem ratowniczym, o którym mowa w rozporządzeniu ksrg;
17) Rejestrze czynności przetwarzania - rozumie się przez to – rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 RODO;
18) Danych – rozumie się przez to dane osobowe, o których mowa w art. 4 pkt 1 RODO.
Ogólne Zasady przetwarzania danych osobowych
1) Współadministratorzy zobowiązują się do administrowania danymi osobowymi przetwarzanymi w SWD PSP w zgodzie z obowiązującymi przepisami prawa, w tym w szczególności z postanowieniami RODO.
2) Współadministratorzy zapewniają bezpieczeństwo przetwarzanych danych osobowych oraz wdrażają odpowiednie środki organizacyjne i techniczne służące ochronie danych osobowych, oraz w razie potrzeby, aktualizują te środki. Środki te będą uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych.
3) Dane osobowe muszą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
4) Dane osobowe w SWD PSP są przetwarzane w celu ochrony życia, zdrowia, mienia lub środowiska przed pożarem, klęską żywiołową lub innym miejscowym zagrożeniem, w zakresie niezbędnym do realizacji zadań wynikających z ustawy o ochronie przeciwpożarowej, uzyskane w związku ·z prowadzeniem działań ratowniczych oraz obsługą zgłoszeń alarmowych, o których mowa w art. 2 pkt 2 ustawy o systemie powiadamiania ratunkowego, w tym dane osobowe osoby zgłaszającej oraz osób, których zgłoszenie dotyczy.
5) Zbierane dane osobowe muszą być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
6) Zabronione jest zbieranie wszelkich danych nieistotnych, niemających znaczenia, o większym stopniu szczegółowości niż wynika to z określonego celu.
7) Zabronione jest przetwarzanie danych osobowych, dla których zakres, cel przetwarzania i sposoby przetwarzania nie zostały ustalone przez administratora, z wyjątkiem danych osobowych wynikających wprost z przepisów prawa.
8) Dane mogą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
9) Okres przechowywania danych może zostać wydłużony nawet po osiągnięciu celu przetwarzania, jeżeli przepisy ustaw szczególnych takie postępowanie dopuszczają.
Dane osobowe mogą być przetwarzane po wcześniejszej rejestracji procesów z tym związanych w Rejestrze czynności przetwarzania.
Relacje zachodzące pomiędzy współadministratorami
Państwowa Straż Pożarna jest formacją składającą się z jednostek administracji publicznej, wzajemnie ze sobą powiązanych, mających możliwość wymiany doświadczeń, wiedzy oraz informacji w zakresie wykonywania ustawowych zadań walki z pożarami, klęskami żywiołowymi i innymi miejscowymi zagrożeniami, celem dążenia do ciągłego oraz zharmonizowanego rozwoju wszystkich swoich podmiotów. W związku z powyższym określony został katalog funkcjonalności SWD PSP, umożliwiający we wszystkich jednostkach organizacyjnych:
1) obsługę przyjęcia zgłoszeń i rejestracji zdarzeń;
2) alarmowanie i powiadamianie sił i środków krajowego systemu ratowniczo-gaśniczego oraz innych podmiotów współpracujących z systemem;
3) dysponowanie sił i środków krajowego systemu ratowniczo-gaśniczego oraz innych podmiotów współpracujących z systemem do działań ratowniczych;
4) nadzorowanie i koordynowanie działań ratowniczych;
5) sporządzanie dokumentacji z prowadzonych działań;
6) wymianę informacji i danych między jednostkami organizacyjnymi Państwowej Straży Pożarnej oraz innymi podmiotami współpracującymi z systemem;
7) prowadzenie szczegółowej ewidencji sił i środków Państwowej Straży Pożarnej, Ochotniczej Straży Pożarnej, Zakładowych Straży Pożarnych i Zakładowych Służb Ratowniczych;
8) prowadzenie ewidencji dostępnych dla Państwowej Straży Pożarnej sił i środków innych zasobów pochodzących z instytucji i organizacji wspierających Państwową Straż Pożarną;
9) współpracę z urządzeniami łączności oraz urządzeniami umożliwiającymi śledzenie pojazdów, nadzór, alarmowanie i powiadamianie sił i środków krajowego systemu ratowniczo-gaśniczego oraz innych podmiotów współpracujących z systemem, a także sterowanie automatyką przemysłową, wykorzystywaną w jednostkach organizacyjnych Państwowej Straży Pożarnej;
10) generowanie analiz, raportów, zestawień i statystyk;
11) pozyskiwanie danych przestrzennych, udostępnianych za pośrednictwem systemu, o którym mowa w art. 40 ust. 3 e ustawy - Prawo geodezyjne i kartograficzne, z Głównego Urzędu Geodezji i Kartografii;
12) korzystanie z usług danych przestrzennych, udostępnionych za pośrednictwem systemu, o którym mowa w art. 40 ust. 3 e ustawy - Prawo geodezyjne i kartograficzne, z Głównego Urzędu Geodezji i Kartografii;
13) wymianę informacji z CPR za pośrednictwem interfejsu komunikacyjnego, o którym mowa w art. 13 ust. 2 ustawy o systemie powiadamiania ratunkowego;
14) pozyskiwanie i prezentacja danych dotyczących lokalizacji zakończenia sieci, z którego zostało wykonane połączenie do numeru alarmowego, oraz danych dotyczących abonenta, o których mowa w art. 78 ust. 2 ustawy - Prawo telekomunikacyjne, za pośrednictwem centralnego punktu systemu powiadamiania ratunkowego, o którym mowa w art. 78 ust. 4 pkt 1 ustawy - Prawo telekomunikacyjne, lub przekazanych z CPR;
15) współpracę z innymi systemami teleinformatycznymi za pośrednictwem interfejsów zrealizowanych w architekturze otwartej.
Z uwagi na funkcjonalność, pionową strukturę i budowę SWD PSP, wprowadzony zostaje następujący, opisany w poniższej tabeli, podział odpowiedzialności, obowiązków
i zadań współadministratorów związanych z przetwarzaniem danych osobowych w tym systemie. Ponadto wprowadza się ograniczenie w dostępie do danych przetwarzanych
w SWD PSP na równorzędnych poziomach struktury organizacyjnej PSP. Oznacza to, że administratorzy na danym szczeblu posiadają dostęp do własnych danych oraz do danych jednostek podległych (nadzorowanych), lecz nie posiadają dostępu do danych jednostek z tego samego szczebla organizacyjnego PSP. Wyjątek stanowią dane przetwarzane przez szkoły pożarnicze, do których mają dostęp również jednostki szczebla powiatowego, na których terenie działania funkcjonuje szkoła. Jednocześnie ustala się, że dokonywany podział zadań i obowiązków nie prowadzi, ani też nie będzie prowadził do pozbawienia realnej kontroli nad przetwarzaniem danych osobowych któregokolwiek ze współadministratorów.