- Widzę potrzebę zintegrowania działań przez gminę w taki sposób, aby wszystkie jednostki w jej obszarze przetwarzały dane w co najmniej takim samym standardzie bezpieczeństwa - mówi w wywiadzie dla DGP Monika Krasińska, dyrektor zespołu ds. sektora publicznego w Urzędzie Ochrony Danych Osobowych.
Czy jeśli jednostka pomocnicza gminy realizuje cele publiczne na podstawie upoważnienia od gminy, to jest samodzielnym administratorem danych?
To zależy od zadań realizowanych przez taką jednostkę, jej umiejscowienia w strukturze gminy. Wykonywanie np. określonych zadań przez sołtysa będzie wynikać rzeczywiście z przekazania ich przez gminę do jednostki pomocniczej. Sołtys może stać się np. inkasentem podatkowym. Realizuje wówczas zlecone zadanie, ale administratorem pozostaje gmina. Czasami może on jednak działać jak autonomiczny podmiot i wówczas może być też administratorem danych.
Monika Krasińska, dyrektor zespołu ds. sektora publicznego w Urzędzie Ochrony Danych Osobowych / Dziennik Gazeta Prawna
W jakich sytuacjach?
Przykładowo, gdy załatwia indywidualne sprawy z zakresu administracji publicznej z mocy upoważnienia przyznanego przez radę gminy. Jeżeli zatem sołtys wydaje decyzje administracyjne, staje się administratorem danych osobowych zgromadzonych dla potrzeb postępowań zakończonych takim aktem. Jeśli pozyskuje głosy poparcia lub sprzeciwu mieszkańców jednostki pomocniczej, to w trakcie pozyskiwania takich głosów i dalszego ich przetwarzania też działa jako administrator. Gmina bowiem nie ma nawet wiedzy o danej inicjatywie i nie zleca mu tego zadania. Jako jednostka pomocnicza gminy sołtys powinien dochować wyznaczonych przez gminę standardów bezpieczeństwa przetwarzania danych.
Czy zatem jednostki pomocnicze gminy muszą wyznaczyć inspektora ochrony danych?
Rozporządzenie RODO w art. 37 wyraźnie wskazuje, kiedy wyznaczenie IOD staje się czynnością obligatoryjną. Ministerstwo Cyfryzacji doprecyzowało w rodzimej ustawie o ochronie danych osobowych, że przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumiane są te wskazane w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych, jednostki badawcze oraz Narodowy Bank Polski. Sektor finansów publicznych tworzą z kolei m.in. jednostki samorządu terytorialnego oraz ich związki czy samorządowe zakłady budżetowe. Wspomniany przepis nie wymienia zatem tych jednostek. Mogą jednak powołać IOD, co leży w ich interesie z punktu widzenia dbałości o najwyższe standardy ochrony danych osobowych.
Czy gminy i jednostki pomocnicze powinny zatem tworzyć wspólne struktury ochrony danych osobowych?
Widzę potrzebę zintegrowania działań przez gminę w taki sposób, aby wszystkie jednostki w jej obszarze przetwarzały dane w co najmniej takim samym standardzie bezpieczeństwa. Powinny więc przygotować pewne wytyczne lub rekomendacje i przestrzec jednostki pomocnicze przed wykorzystywaniem danych osobowych mieszkańców w celach prywatnych lub niezwiązanych z zadaniami publicznymi. Dlatego muszą być opracowane odpowiednie procedury. Oczywiście i same jednostki pomocnicze powinny podjąć się zadania inwentaryzacji dotychczasowych praktyk związanych z ochroną danych osobowych i indywidualnie oszacować wszelkie ryzyka związane z procesem ich przetwarzania w ramach swojej działalności. Powołanie IOD, który będzie wspierał przy wdrażaniu RODO, wydaje się rozwiązaniem optymalnym.
Czy to nowe wyzwanie?
Nie, bo ten temat pojawiał się w przeszłości wielokrotnie, chociażby przy okazji przetwarzania danych osobowych przez radnych. Wówczas dyskutowaliśmy, czy i w jaki sposób radni mogą reprezentować instytucję publiczną i czy mogą rozporządzać samodzielnie danymi osobowymi, a potem przekazywać te informacje do gminy bez zastosowania żadnych standardów bezpieczeństwa i upoważnień. Stanowisko GIODO od lat było w tym zakresie konsekwentne – każdy przetwarzający takie dane w ramach jednostek pomocniczych powinien otrzymać od gminy stosowne procedury, by wiedzieć, np. jakimi środkami komunikacji elektronicznej się posługiwać, aby przesyłanie informacji było bezpieczne.
Czy w związku z RODO jest szansa na rozwój centrów usług wspólnych, a więc, aby w tym zakresie obsługiwały np. jednostki pomocnicze? Zwłaszcza że te jednostki często nie mają własnego budżetu, a muszą dbać o standardy bezpieczeństwa.
Rola CUW-ów będzie sukcesywnie wzrastać, choć ich zadania dość lapidarnie zostały określone w obowiązujących przepisach. Urzędy i liczne środowiska samorządowe nie mają pewności, czy przekazując CUW-om dane osobowe, mają je im powierzać, czy jest to przekazanie odrębnemu administratorowi, który w całości będzie za nie odpowiadał.
Zasadniczy problem, jaki widzę, to zbyt mała liczba osób, które działając w ramach CUW, miałyby pełnić tak odpowiedzialną rolę. Musimy pamiętać, że zakres zadań IOD jest przeogromny, a analiza poziomu bezpieczeństwa i stosowania wszystkich zasad RODO wymaga ciągłej aktywności. Nie jest to jednorazowa czynność. Powstaje zatem pytanie, czy jedna osoba, realizując odpowiedzialnie swoje zadania IOD, jest w stanie zapewnić obsługę kilkunastu czy kilkudziesięciu jednostek pomocniczych?