Ochrona danych osobowych w instytucjach kultury

Instytucje kultury to podmioty publiczne (państwowe lub samorządowe), zajmujące się upowszechnianiem kultury. Przybierają różne formy, np. teatr, kino, muzeum, biblioteka, opera, filharmonia, dom kultury, galerie sztuki czy instytucje filmowe. Przetwarzają dane osobowe nie tylko swoich pracowników, ale przede wszystkim dane uczestników swoich wydarzeń (widzów). Z tego powodu wiele instytucji kultury posiada rozległe bazy danych, np. związane z użytkownikami wykupującymi bilety przez internet. Wynika z tego, że ich główny przedmiot działalności polega na przetwarzaniu danych osobowych, a więc ochrona tych danych powinna być piorytetem.

Niestety praktyka pokazuje, że często tak nie jest. Dzieje się tak głównie ze względu na ograniczone możliwości finansowe, ale często także przez brak pomysłów na szczeblach zarządczych i odpowiedniego wsparcia właścicieli, poziom ochrony danych osobowych w instytucjach kultury pozostawia wiele do życzenia.

RODO nakazuje „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”, co w praktyce sprowadza się przede wszystkim do przeprowadzania testów penetracyjnych, które powinny być zlecone wyspecjalizowanemu podmiotowi zewnętrznemu, co wiąże się z dużymi kosztami. Efektem takich testów będzie zestaw zaleceń do wdrożenia, co najczęściej będzie się wiązało z kolejnymi wydatkami, np. zakupem aktualnego oprogramowania antywirusowego, firewall czy zakupem sprzętu.

Zgodnie z przepisami RODO instytucje kultury muszą mieć inspektora ochrony danych osobowych. Istnieje tu duże ryzyko zatrudnienia inspektora, który ze względu na niskie wynagrodzenie nie będzie poświęcał należytego czasu na wypełnianie swoich obowiązków. Zdarza się, że pozycja inspektora w instytucji kultury nie będzie spełniała wymogów RODO, np. co do jego niezależności, kompetencji, włączania go we wszystkie sprawy z zakresu ochrony danych osobowych. Przykładowo, jako jeden z obowiązków inspektora, RODO wymienia „udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania”. Zwrot „na żądanie” wymaga istnienia odpowiedniej świadomości personelu instytucji kultury co do tego dość skomplikowanego procesu jakim jest ocena skutków (DPIA), a więc np. wiedzy co do tego, które działania instytucji kultury wymagają przeprowadzenia takiej oceny i że należy je zgłosić inspektorowi.

Sporym wyzwaniem jest przestrzeganie limitów miejsc biorąc pod uwagę osoby zaszczepione i niezaszczepione. Podczas gdy Prezes Urzędu Ochrony Danych Osobowych wydał wytyczne, z których wynika, że poinformowanie o zaszczepieniu może być co najwyżej dobrowolne oraz taka informacja nie może być utrwalana, niektóre instytucje kultury naruszają te wymogi. Przykładowo jedna z instytucji kultury postanowiła wyznaczyć odrębny sektor dla zaszczepionych, systemowo ujawniając informacje o zaszczepieniu swoich gości całej publiczności.

To tylko przykładowe zagadnienia, które mogą sprawiać problemy instytucjom kultury. Nie bagatelizowałbym ich, ponieważ mogą się zemścić w najmniej oczekiwanym momencie. Naruszenie RODO to nie tylko kwestia kar Prezesa Urzędu Ochrony Danych Osobowych czy wyroków sądów. To również kwestia wizerunku instytucji publicznych, a chyba wszyscy chcielibyśmy nowoczesnego sektora publicznego, któremu możemy zaufać, także w kwestii bezpieczeństwa naszych danych.