Wykonuję mandat radnego w podwarszawskiej gminie. Mieszkańcy jednego z osiedli mają wątpliwości w zakresie legalności inwestycji budowlanej prowadzonej przez spółkę gminną. Chcę skorzystać ze swoich uprawnień i zweryfikować, czy jest ona zgodna z przepisami. Czy mam obowiązek zabezpieczenia pozyskanych danych osobowych?
Tak, bo wykonując czynności sprawdzające, radny staje się administratorem pozyskanych danych osobowych. Musi więc kierować się przepisami unijnego rozporządzenia oraz wytycznymi organów wykonawczych gminy.
Ale po kolei. Wspomniane w pytaniu uprawnienie wynika z art. 24 ust. 2 ustawy o samorządzie gminnym. Zgodnie z nim przy wykonywaniu mandatu radny ma prawo – jeżeli nie narusza to dóbr osobistych innych osób – do uzyskiwania informacji i materiałów, wstępu do pomieszczeń, w których się one znajdują, oraz do wglądu w działalność urzędu gminy, a także spółek z jej udziałem. Warunkiem jest zachowanie przepisów o tajemnicy prawnie chronionej.
Radny musi też pamiętać, że korzystając z uprawnienia do kontroli, staje się administratorem danych osobowych pozyskanych podczas tych czynności, ponieważ sam ustala cele i sposoby przetwarzania tych informacji. A to oznacza, że musi działać w zgodzie z przepisami RODO, np. kierując się zasadą minimalizacji (dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane), należytego przechowywania danych oraz konieczność spełnienia obowiązku informacyjnego względem osób, których dotyczą dane osobowe.
Co ważne i o czym przypomina Urząd Ochrony Danych Osobowych, w gminach pieczę nad prawidłowością przetwarzania danych sprawują organy wykonawcze (np. wójt, burmistrz lub prezydent miasta). Powinny też one wypracować jednolite praktyki w tym zakresie dla rady gminy oraz radnych, m.in. na potrzeby realizacji przez nich ich autonomicznych zadań, i wpisać je w ogólną koncepcję przetwarzania danych obowiązującą w jednostce. W koncepcji należy zamieścić m.in. wskazówki dotyczące archiwizowania dokumentacji, która powstała w związku z wykonywaniem mandatu radnego czy też zalecenia korzystania przez radnych ze służbowych (a nie prywatnych) środków komunikacji, takich jak służbowy telefon czy służbowa poczta elektroniczna.
W wypracowaniu i stosowaniu w danej gminie koncepcji przetwarzania danych osobowych istotną rolę pełni również – obowiązkowy w instytucjach publicznych – inspektor ochrony danych osobowych. Zgodnie z art. 39 ust. 1 lit. a RODO ma on obowiązek informować administratora, podmiot przetwarzający oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie.
UODO daje również wskazówki dla podmiotów, w których radny może dokonywać kontroli. Przypomina, że ustawodawca w art. 24 ust. 2 ustawy o samorządzie gminnym jednoznacznie ograniczył uzyskiwanie informacji i materiałów przez radnego do sytuacji, gdy nie narusza to dóbr osobistych innych osób. – Jednostki zobowiązane do udostępnienia informacji i materiałów radnemu muszą więc podjąć wszelkie czynności, by w takich przypadkach udostępnienie nie obejmowało informacji naruszających dobra osobiste osób fizycznych – podkreśla UODO we wrześniowym newsletterze dla inspektorów ochrony danych. Informacje muszą też być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów (art. 5 ust. 1 lit. c RODO). Organ nadzorczy radzi też, aby w czasie udostępniania radnemu pomieszczeń, instytucje zobowiązane wprowadziły takie procedury, które pozwolą radnemu zrealizować jego uprawnienia, jednocześnie zapewniając właściwą ochronę danych osobowych i dóbr osobistych osób fizycznych. Przykładowo, udostępniając radnemu pomieszczenia w urzędzie gminy, należy nie dopuścić do sytuacji, gdy ma on wgląd, np. w ekrany komputerów urzędników przetwarzających dane osobowe interesantów.
Podstawa prawna:
• art. 24 ust. 2 ustawy z 8 marca 1990 r. o samorządzie gminnym (t.j. Dz.U. z 2020 r. poz. 713);
• art. 39 ust. 1 lit. a, art. 5 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
