Problemy z odpowiedzią na to z pozoru proste pytanie ma nawet GIODO. Zdaniem ekspertów tę kwestię należy jak najszybciej wyjaśnić w krajowych przepisach wdrażających.
Sołtysi nierzadko mają dostęp do danych osobowych mieszkańców (m.in. prowadzą na ich rzecz działania informacyjne, a także zawiadamiają o ważnych dla nich sprawach oraz o organizacji gminy). Czy w takim razie także oni będą mieć obowiązek przestrzegania przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO), które zacznie obowiązywać 25 maja br.? A jeśli tak, to czy są samodzielnymi administratorami, co oznacza, że muszą zabezpieczyć przetwarzane dane oraz powołać inspektora ochrony danych (IOD)? I wreszcie, czy za naruszenia grożą im kary? Odpowiedzi na te pytania – jak się okazuje – wcale nie są łatwe.
Doktor Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”, zauważa, że problem interpretacji wynika z niejasności obowiązujących przepisów o samorządzie gminnym oraz niespójnego orzecznictwa generalnego inspektora ochrony danych osobowych (GIODO). – W przeszłości GIODO czasem uznawało za samodzielnych administratorów danych osobowych rady gmin, a czasem wójtów. Tym bardziej nie wiadomo, jaką rolę w przetwarzaniu danych osobowych pełnią stojący na czele jednostek pomocniczych sołtysi. Przy czym sprawa dotyczy nie tylko sołtysów, ale również np. zarządów osiedli, rad seniorów, rad młodzieżowych oraz miejskich, związków międzygminnych i powiatowych. Tę kwestię powinno się wyjaśnić w przepisach wdrażających RODO do polskiego porządku prawnego – uważa dr Marlena Sakowska-Baryła.
Wynagrodzenia brak, a kary grożą
Dlaczego niejasność interpretacji to duży problem dla sołtysów? Otóż może się okazać, że są zobowiązani nie tylko do wdrożenia odpowiednich zabezpieczeń przetwarzanych danych, zebrania zgód na ich gromadzenie i przetwarzanie, a także powołania inspektora ochrony danych. A niewykluczone, że za ewentualne naruszenia ryzykowaliby też prywatnym majątkiem – zgodnie z projektem ustawy o ochronie danych osobowych – nawet do 100 tys. zł.
Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, związany z Instytutem Allerhanda mówi, że zgodnie z art. 39 ust. 4 ustawy o samorządzie gminnym do załatwiania indywidualnych spraw z zakresu administracji publicznej rada gminy może upoważnić również organ wykonawczy jednostki pomocniczej, czyli sołtysa. – Jeżeli więc sołtys posiada takie upoważnienie, to w ramach postępowań, które prowadzi, przysługuje mu status samodzielnego administratora danych osobowych – uważa dr Litwiński. Może więc wykonywać zadania przetwarzania danych w ramach zadań zgodnie z ustawą o samorządzie gminnym. Formalnie powinien też powołać inspektora ochrony danych osobowych, chociaż rozsądek podpowiada, aby to gmina zapewniła sołtysom IOD – np. w ramach centrum usług wspólnych. Chodzi o to, by nie zmuszać sołtysów do wykładania z własnej kieszeni pieniędzy na zatrudnienie inspektora. Zdaniem dr. Litwińskiego nieco inaczej powinna wyglądać sytuacja, gdy sołtys został wyznaczony do bycia inkasentem podatkowym, wówczas gmina powinna z nim podpisać umowę o powierzenie danych osobowych.
Przecież działa z upoważnienia urzędu
Innego zdania jest radca prawny Adam Lewiński, zastępca GIODO w latach 2006–2016, obecnie prezes fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej. – Według mnie sołtys działa z ramienia urzędu gminy i nie powinien być uznany za samodzielnego administratora danych – mówi mec. Adam Lewiński. Wskazuje, że sołtys nie ustala celów i zasad przetwarzania danych, nie powinien więc też zbierać zgód na to przetwarzanie. Ekspert podkreśla, że to gmina jest administratorem i to ona powinna ponosić odpowiedzialność. Sołtysa powinno się zaś zaliczać do wewnętrznych struktur gminy. Mówiąc prościej – nie powinien on działać na podstawie umowy o powierzeniu danych.
WAŻNE
Jeżeli sołtysi zostaną uznani za samodzielnych administratorów danych, to będą mieli obowiązek powołania inspektorów danych osobowych
Wtóruje mu dr Marlena Sakowska-Baryła. Ekspertka zauważa, że sołtysi pełnią funkcję społecznie, nie mają więc ani zaplecza technicznego, ani pieniędzy na zatrudnienie IOD. Działają na podstawie upoważnienia gminy, o którym stanowi ustawa o samorządzie gminnym. Prawniczka dodaje, że sołtys istotnie przetwarza dużo danych, ale nie ustala celów tego przetwarzania, robi to gmina. – Oznacza to, że IOD gminy powinien kontrolować również działania sołtysów. Ewentualnie, gdyby organ nadzorczy (obecnie GIODO – red.) uznał, że sołtysi są administratorami danych, to gminy powinny zapewnić im dostęp do IOD działających dla gminy bądź tych funkcjonujących w ramach centrum usług wspólnych – mówi dr Sakowska-Baryła. Czy jednak sołtysi mogliby odpowiadać cywilnie za naruszenia danych? Zdaniem ekspertki – nie. Wszak istnieje koncepcja odpowiedzialności anonimowej przy naruszeniach dokonywanych przez instytucje publiczne.
Stanowisko z 23 kwietnia 2018 r.
Biorąc pod uwagę definicję administratora zawartą w art. 4 pkt 7 RODO, to dla ustalenia, czy dany podmiot można uznać za administratora, istotna będzie jego samodzielność w podejmowaniu decyzji o celach i sposobach przetwarzania danych.
W szeroko rozumianym sektorze publicznym podmiot będący administratorem danych może być wskazany w konkretnym przepisie prawa, jednak najczęściej ta rola wynika z charakteru, kompetencji lub /i/ zakresu zadań publicznych, jakie przepisy te mu przypisują. Wskazuje na to Grupa Robocza Art. 29 w opinii 1/2010 w sprawie pojęć „administratora danych” i „przetwarzającego”. Jednocześnie w dokumencie tym podkreśla się, że konkretne stosowanie pojęcia administratora staje się obecnie coraz bardziej złożone ze względu na zróżnicowanie form prawnych oraz organizacyjnych różnych podmiotów, które faktycznie decydują o celach i środkach przetwarzania.
Jeśli chodzi o sołectwo, to pamiętać należy, że jest ono jedynie jednostką pomocniczą gminy. Zgodnie z art. 35 ustawy o samorządzie gminnym rada gminy w odrębnym statucie określa organizację i zakres działania jednostki pomocniczej.
Biorąc pod uwagę dotychczasową praktykę funkcjonowania sołectw, to najczęściej gminy decydowały o celach i środkach przetwarzania danych przez sołectwa – zatem GIODO nie traktował ich jako administratorów danych. Na gruncie RODO pewnie będzie podobnie, choć ze względu na zmianę definicji administratora nie można wykluczyć, iż dojdzie do sytuacji, w której to sołectwo – ze względu na okoliczności danego przypadku – będzie mogło zostać uznane za administratora.
Jeśli zaś chodzi o wyznaczanie IOD, to obowiązek taki spoczywa na podmiotach z sektora publicznego. Dotyczy on administratorów i podmiotów przetwarzających – jak wskazuje projekt nowej ustawy o ochronie danych osobowych – przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumiane będą te wskazane w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych. Przepis ten nie wymienia jednostek pomocniczych gmin.