Tak, bo wykonując czynności sprawdzające, radny staje się administratorem pozyskanych danych osobowych. Musi więc kierować się przepisami unijnego rozporządzenia oraz wytycznymi organów wykonawczych gminy.
Ale po kolei. Wspomniane w pytaniu uprawnienie wynika z art. 24 ust. 2 ustawy o samorządzie gminnym. Zgodnie z nim przy wykonywaniu mandatu radny ma prawo – jeżeli nie narusza to dóbr osobistych innych osób – do uzyskiwania informacji i materiałów, wstępu do pomieszczeń, w których się one znajdują, oraz do wglądu w działalność urzędu gminy, a także spółek z jej udziałem. Warunkiem jest zachowanie przepisów o tajemnicy prawnie chronionej.
Radny musi też pamiętać, że korzystając z uprawnienia do kontroli, staje się administratorem danych osobowych pozyskanych podczas tych czynności, ponieważ sam ustala cele i sposoby przetwarzania tych informacji. A to oznacza, że musi działać w zgodzie z przepisami RODO, np. kierując się zasadą minimalizacji (dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), należytego przechowywania danych oraz konieczność spełnienia obowiązku informacyjnego względem osób, których dotyczą dane osobowe.
Co ważne i o czym przypomina Urząd Ochrony Danych Osobowych, w gminach pieczę nad prawidłowością przetwarzania danych sprawują organy wykonawcze (np. wójt, burmistrz lub prezydent miasta). Powinny też one wypracować jednolite praktyki w tym zakresie dla rady gminy oraz radnych, m.in. na potrzeby realizacji przez nich ich autonomicznych zadań, i wpisać je w ogólną koncepcję przetwarzania danych obowiązującą w jednostce. W koncepcji należy zamieścić m.in. wskazówki dotyczące archiwizowania dokumentacji, która powstała w związku z wykonywaniem mandatu radnego czy też zalecenia korzystania przez radnych ze służbowych (a nie prywatnych) środków komunikacji, takich jak służbowy telefon czy służbowa poczta elektroniczna.
W wypracowaniu i stosowaniu w danej gminie koncepcji przetwarzania danych osobowych istotną rolę pełni również – obowiązkowy w instytucjach publicznych – inspektor ochrony danych osobowych. Zgodnie z art. 39 ust. 1 lit. a RODO ma on obowiązek informować administratora, podmiot przetwarzający oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie.
UODO daje również wskazówki dla podmiotów, w których radny może dokonywać kontroli. Przypomina, że ustawodawca w art. 24 ust. 2 ustawy o samorządzie gminnym jednoznacznie ograniczył uzyskiwanie informacji i materiałów przez radnego do sytuacji, gdy nie narusza to dóbr osobistych innych osób. – Jednostki zobowiązane do udostępnienia informacji i materiałów radnemu muszą więc podjąć wszelkie czynności, by w takich przypadkach udostępnienie nie obejmowało informacji naruszających dobra osobiste osób fizycznych – podkreśla UODO we wrześniowym newsletterze dla inspektorów ochrony danych. Informacje muszą też być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów (art. 5 ust. 1 lit. c RODO). Organ nadzorczy radzi też, aby w czasie udostępniania radnemu pomieszczeń, instytucje zobowiązane wprowadziły takie procedury, które pozwolą radnemu zrealizować jego uprawnienia, jednocześnie zapewniając właściwą ochronę danych osobowych i dóbr osobistych osób fizycznych. Przykładowo, udostępniając radnemu pomieszczenia w urzędzie gminy, należy nie dopuścić do sytuacji, gdy ma on wgląd, np. w ekrany komputerów urzędników przetwarzających dane osobowe interesantów.
Podstawa prawna:
•art. 24 ust. 2 ustawy z 8 marca 1990 r. o samorządzie gminnym (t.j. Dz.U. z 2020 r. poz. 713);
•art. 39 ust. 1 lit. a, art. 5 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).