Jednostki pomocnicze mogłyby scedować zadania związane z nowymi przepisami na centra usług wspólnych. Pomysł się samorządom podoba, jednak są wątpliwości, czy prawo na takie działania pozwala.
– Przepisy dotyczące centrów usług wspólnych obowiązują już ponad dwa lata, jednak jak na razie jest ich w samorządzie jak na lekarstwo. Przyczyn może być wiele, np. problemy organizacyjne albo jakieś ograniczenia w zakresie wspólnych zadań wynikające z przepisów o samorządzie gminnym – mówi Marcin Nagórek, radca prawny. Samorządowcy nadal podchodzą do powoływania CUW-ów ostrożnie, choć zauważają, że przepisy o RODO, a zwłaszcza konieczność stosowania ich w małych jednostkach, może być impulsem do ich utworzenia.
Najpierw się przyglądamy
Grzegorz Sapiński, prezydent Kalisza, przyznaje, że u niego centrum nie ma. – Sprawę konsultowaliśmy z naszymi służbami finansowymi. Postanowiliśmy najpierw przyjrzeć się, jak to działa w innych gminach, a także w korporacjach czy spółkach. Czasem konsolidacja nie daje zamierzonych efektów. Więcej kosztuje wspólna obsługa niż robienie tego na miejscu. Jeśli chodzi o wspieranie w zakresie RODO jednostek pomocniczych gminy, powierzyliśmy to kancelarii rady miasta – wyjaśnił.
Wójt gminy Kłodzko Stanisław Longawa także informuje, że jego jednostka nie ma CUW, choć zaznacza, że z niektórych placówek oświatowych płyną zgłoszenia, iż warto byłoby wspólnie realizować zadania z zakresu bezpieczeństwa i higieny pracy, obsługi informatycznej czy właśnie ochrony danych osobowych. – Tworzenie odrębnej jednostki jest jednak kosztowne. Pytanie, czy potencjalne korzyści finansowe byłyby na tyle istotne, by ponieść te koszty – zastanawia się Stanisław Longawa. I dodaje, że gmina woli poczekać. Także w Nowej Soli nie utworzono centrum usług wspólnych, choć jak mówi prezydent miasta Wadim Tyszkiewicz ich idea w gminie jest realizowana. – Potrafimy grać zespołowo, więc pomysł, by wspólnie zająć się usługami związanymi z RODO jest ciekawy. Potrzeba impulsu. Kto wie, może właśnie ochrona danych spowoduje, że powstanie u nas CUW? – stwierdza Tyszkiewicz.
W trakcie tworzenia CUW jest Olsztyn. Centrum ma zapewnić obsługę 70 placówek oświatowych – mówi Piotr Grzymowicz, prezydent Olsztyna. – Nie przewidujemy, przynajmniej na razie, że miałby przejąć on także zadania związane z RODO. Ale jest to warte zastanowienia. Musimy jednak najpierw dobrze rozeznać się w przepisach, bo nie jestem pewien, czy jest to możliwe.
Gminy mogą zyskać, ale potrzebne wytyczne
Zwolennikiem wykorzystania centrów do obsługi zadań z zakresu ochrony danych osobowych jest Marek Wójcik ze Związku Miast Polskich. – Nie widzę ku temu żadnych przeszkód w prawie krajowym, a w RODO też nie znajduję zakazu dla tego typu działań. W uchwale organu stanowiącego (np. rady gminy) jest dokładnie określany zakres zadań jednostki obsługującej, to stanowi dobrą podstawa do przekazania CUW-owi powierzenia danych osobowych. Według Wójcika jednostki pomocnicze gmin na takim działaniu mogą tylko zyskać. Po pierwsze, będą korzystać z pomocy fachowca, który zagwarantuje wysoką jakość usług, a po drugie efektywnie wykorzystają środki publiczne, bo koszty pracy specjalisty rozłożą się na kilkanaście podmiotów.
Wspólna obsługa kwestii związanych z unijnym rozporządzeniem mogłaby rzeczywiście zachęcić do powstawania nowych CUW-ów czy objęcia nimi innych gminnych jednostek. – Dziś najczęściej skupiają placówki oświatowe – wyjaśnia Leszek Świętalski, sekretarz generalny Związku Gmin Wiejskich. – Tymczasem w małych placówkach, takich jak właśnie szkoły, żłobki, przedszkola czy biblioteki, widzę problem z obsługą RODO. Tymczasem w ramach CUW-ów można by to racjonalizować.
Czy CUW może przejąć zadania
Zanim jednak samorządowcy zdecydują się na przekazanie do centrów usług wspólnych zadań związanych z RODO, muszą uzyskać odpowiedź na kilka pytań. – Przede wszystkim potrzebna jest jasna deklaracja ze strony rządowej, czy takie działanie jest w ogóle możliwe. Najlepiej, żeby był odpowiedni przepis w ustawie albo przynajmniej jasne stanowisko UODO. My musimy poruszać się w ramach prawa – podkreśla Leszek Świętalski. I dodaje: – Szkoda, że mówi się o tym dopiero teraz. Gdy był czas na przygotowanie samorządów do RODO, konkretów brakowało. Na tym zarobiły firmy doradcze – uważa Świętalski.
Drugi problem stanowić może rozdźwięk między przepisami RODO i ustawą o samorządzie gminnym. Mianowicie unijne rozporządzenie mówi o tym, że przekazywanie obowiązków związanych z RODO ma się odbywać na podstawie umowy, a w polskich przepisach samorządowych podstawą przekazania zadań jest uchwała rady gminy i odpowiednie porozumienie. O wyjaśnienie tych kwestii poprosiliśmy ekspertów. Uważają, że takie przekazanie jest wprawdzie możliwe, ale lepiej, żeby odpowiednie przepisy znalazły się w ustawie wdrożeniowej.
Jak robi to Lublin
Lubelskie Centrum Ekonomiczno-Administracyjne Oświaty powołane 1 stycznia 2018 r. zapewnia wspólną obsługę administracyjną 62 przedszkolom, jednemu zespołowi przedszkolnemu, trzem poradniom psychologiczno-pedagogicznym, trzem zespołom poradni oraz Młodzieżowemu Ośrodkowi Socjoterapii. LCO prowadzi obsługę finansowo-księgową tych jednostek; obsługę zakładowych funduszy świadczeń socjalnych, kasy zapomogowo-pożyczkowej, obsługę prawną; zapewnia procedury bezpieczeństwa i higieny pracy; prowadzi wzajemne rozliczenia z okolicznymi gminami wynikające z korzystania przez dzieci z wychowania przedszkolnego; realizuje zadania centralnego zamawiającego a także zadania z zakresu bezpieczeństwa informacji w podległych placówkach.
W przypadku pozostałych placówek oświatowych, dla których organem prowadzącym jest miasto (szkoły podstawowe, ponadpodstawowe, bursy itd), obowiązki w zakresie bezpieczeństwa informacji związane z RODO przejęło Biuro Bezpieczeństwa Informacji i powołany inspektor ochrony danych. W związku z RODO wdrożony został System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodny z normą PN–ISO/IEC 27001:2014-12. Wprowadzone regulacje obejmują w szczególności politykę bezpieczeństwa informacji, której załącznikami są procedury operacyjne związane z zabezpieczeniem informacji przetwarzanych przez urząd miasta w tym w szczególności danych osobowych. Dla placówek oświatowych przygotowany jest zestaw minimalnych standardów w zakresie bezpieczeństwa informacji. Standardy w postaci regulaminów i procedur, gotowych do wdrożenia przez kierowników w podległych im jednostkach wypełniają wymogi RODO. Opisane w dokumentacji procesy obejmują m.in. metodykę prowadzenia analizy ryzyka bezpieczeństwa informacji, reagowania na incydenty, nowe wzory umów powierzenia danych oraz klauzul informacyjnych, procesy związane z nadawaniem uprawnień do systemów teleinformatycznych, jak również szczegółowe zasady postępowania z przetwarzaniem danych podlegających ochronie. Dla kierowników jednostek, w tym dyrektorów szkół i innych placówek oświatowych, pod koniec kwietnia zostało przeprowadzone szkolenie z zakresu ww. dokumentacji oraz obowiązków administratorów po 25 maja 2018 r.
OPINIA EKSPERTA
Jak ustanowić inspektora w ramach CUW?
Pomysł, by w centrach usług wspólnych (CUW) ulokować inspektorów ochrony danych (IOD) obsługujących wielu administratorów z sektora publicznego, wygląda całkiem sensownie. RODO wyraźnie bowiem wskazuje, że można powołać jednego IOD dla kilku podmiotów z sektora publicznego. Pojawia się jednak problem z podstawą prawną umocowania inspektora. Będzie do tego dochodzić dwuetapowo: najpierw należy powierzyć przetwarzanie danych do centrum – które z kolei wyznacza konkretnego IOD, a następnie umocować inspektora w strukturze administratora (podmiotu publicznego).
Praktyczny problem może dotyczyć etapu pierwszego. Zgodnie z rozporządzeniem unijnym do powierzenia przetwarzania danych może dochodzić na podstawie umowy lub innego instrumentu prawnego (other legal act under Union or Member State law), podlegają one prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora. Pojawia się pytanie, co jest tym „innym instrumentem”? Czy przepis krajowy wdrażający RODO wyraźnie musi ten „instrument” uregulować? W ustawie o samorządzie gminnym jest mowa o tym, że rada gminy w uchwale określa zakres obowiązków powierzonych jednostkom obsługującym (czyli CUW-om) w ramach wspólnej obsługi. Czy uchwała jest tym innym instrumentem prawnym? Wydaje się, że jeżeli uchwała będzie wskazywała wszystkie elementy z art. 28 ust. 3 RODO, to można uznać, że doszło do prawidłowego powierzenia danych do CUW. Na tej podstawie można przejść do etapu drugiego, tj. wyznaczenia IOD i ustanowienia go w organizacji konkretnego administratora danych. Sprawa jednak nie jest jasna i powinna być rozstrzygnięta na poziomie przepisów wdrażających lub stanowiska prezesa Urzędu Ochrony Danych Osobowych. Bez tego wskazane rozwiązanie może nie być w praktyce wykorzystane ze względu na sankcje grożące za naruszenie przepisów o ochronie danych osobowych, w tym sankcje karne przewidziane w ustawie z 10 maja 2018 r. o ochronie danych osobowych.
Zawieranie odrębnej umowy powierzenia zdaje się zbędne
Artykuł 10b ust. 2 ustawy o samorządzie gminnym (u.s.g.) stanowi, że rada gminy w odniesieniu do jednostek obsługiwanych określa, w drodze uchwały, w szczególności:
1) jednostki obsługujące; 2) jednostki obsługiwane; 3) zakres obowiązków powierzonych jednostkom obsługującym w ramach wspólnej obsługi. Ponadto z art. 10b ust. 3 u.s.g. wynika, że jednostki obsługiwane mogą – na podstawie porozumień zawartych przez te jednostki z jednostką obsługującą – przystąpić do wspólnej obsługi po uprzednim zgłoszeniu tego zamiaru wójtowi. Zakres wspólnej obsługi określa zawarte porozumienie. Tak więc w zależności od tego, czy podstawą wspólnej obsługi będzie uchwała czy porozumienie, odpowiednio uchwała albo porozumienie będą podstawą powierzenia przetwarzania danych osobowych dokonywanego przy realizacji zadań jednostek obsługiwanych. Z kolei zgodnie z art. 10d u.s.g. jednostka obsługująca jest uprawniona do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnych do wykonywania zadań w ramach wspólnej obsługi tej jednostki. Artykuł 28 ust. 3 RODO zdanie pierwsze stanowi, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Rozporządzenie RODO ma pierwszeństwo przed przepisami prawa krajowego, w tym przed art. 10d u.s.g. Powierzenie przetwarzania danych osobowych Centrum Usług Wspólnych (CUW) przez jednostkę obsługiwaną musi więc być przede wszystkim zgodne z RODO.
Na tle art. 10b i art. 10d u.s.g. oraz art. 28 ust. 3 RODO powstaje pytanie, czym jest ów „inny instrument prawny”, o którym mowa w art. 28 ust. 3 RODO, i czy uchwała rady gminy, na mocy której powierza się CUW obowiązki m.in. w zakresie przetwarzania danych osobowych, może być uznana za taki „inny instrument prawny”. Należy zauważyć, że RODO nie definiuje terminu „inny instrument prawny”, a w innych aktach normatywnych także brak jest definicji tego pojęcia. Można wspomnieć, że w angielskiej wersji językowej RODO mowa jest w motywie 81, jak i w art. 28 ust. 3 nie o „innym instrumencie prawnym”, ale o „innym akcie prawnym” („Processing by a processor shall be governed by a contract or other legal act under Union or Member State law”). Pojęcie „inny akt prawny” wydaje się kategorią bardziej dookreśloną. Należy sądzić więc, że za „inny instrument prawny” z art. 28 ust. 3 RODO można uznać uchwałę rady gminy, o której mowa w art. 10b ust. 2 u.s.g., jak i porozumienie, o którym mowa w art. 10b ust. 3 u.s.g. Trzeba przy tym zaznaczyć, że uchwała lub porozumienie może stanowić podstawę powierzenia przetwarzania danych osobowych pod warunkiem, że będzie zawierać wszystkie informacje wymagane w art. 28 ust. 3 RODO. W tej sytuacji zawieranie odrębnej umowy powierzenia przetwarzania danych wydaje się zbędne.