Zbierając dane do Centralnej Ewidencji Emisyjności Budynków, wójt jest administratorem danych osobowych – stwierdza Urząd Ochrony Danych Osobowych. Jednak gminy nie są świadome swojej roli w tym procesie. A prawnicy się ze stanowiskiem UODO nie zgadzają

1 lipca wszedł obowiązek zgłoszenia przez właścicieli nieruchomości lub ich zarządców źródła ciepła i spalania paliw. Określają to przepisy ustawy o wspieraniu termomodernizacji i remontów oraz o centralnej ewidencji emisyjności budynków (t.j. Dz.U. z 2021 r. poz. 554; dalej: ustawa o CEEB).
Dane te można zgłosić do CEEB albo drogą elektroniczną (https://zone.gunb.gov.pl) albo przez urząd gminy. W tym drugim przypadku dane z papierowego formularza do elektronicznej bazy wprowadzą urzędnicy. Co istotne, deklaracje dotyczące źródła ciepła zawierają imię i nazwisko właściciela lub zarządcy budynku, jego adres, numer telefonu i e-mail.
UODO jest pewny…
W związku z nowym obowiązkiem samorządy nie są pewne, jaka jest ich rola w procesie obsługi danych o źródłach ciepła. Rzecznik prasowy UODO Adam Sanocki w odpowiedzi udzielonej DGP podkreśla, że wspominana ustawa wskazuje na status wójta, burmistrza, prezydenta jako administratora danych zawartych w deklaracjach. – Ma on bowiem prawo i obowiązek przetwarzania tych danych w sposób i celu określonych w przepisach, a zatem wprowadzania danych do ewidencji – mówi rzecznik UODO.
Wójt, burmistrz, prezydent nie są więc podmiotem przetwarzającym, ale administratorem danych zawartych w deklaracji w związku z pełnionym przez nich obowiązkiem zbierania deklaracji w formie pisemnej i wprowadzania ich do ewidencji.
...ale prawnicy nie
Doktor Paweł Litwiński, adwokat z kancelarii Barta Litwiński, zwraca uwagę, że gminy od dwóch tygodni zbierają dane przy użyciu formularza, gdzie jako administrator danych wskazany jest minister. – Przyjmowanie, że jest inaczej, jak to robi UODO, powoduje, że gminy naruszają masowo prawo, narażając się na kary finansowe. Tymczasem po prostu posługiwały się narzuconym im formularzem. Gdzie tu elementarne zaufanie do prawa? – pyta.
W dodatku jego zdaniem stanowisko urzędu jest nieprawidłowe. Ekspert podkreśla, że UODO ma rację, twierdząc, że organ gminy ma „prawo i obowiązek przetwarzania tych danych w sposób i celu określonym ww. przepisach prawa, a zatem wprowadzania danych do ewidencji”. – Problem w tym, że wójt nie ma żadnego własnego celu dla takiego przetwarzania danych – cel jest po stronie ministra (jest nim prowadzenie ewidencji), a to, co robi organ gminy, to wyłącznie działania techniczne, pomocnicze – podkreśla.
– Inaczej mówiąc, deklaracje służą zbieraniu danych do przetwarzania w ewidencji, w stosunku do której administratorem danych jest minister i w ten sposób dochodzi do realizacji własnego celu przetwarzania danych przez ministra, za pomocą organu gminy, który żadnego własnego celu tutaj nie ma – nie może więc być administratorem tych danych – dodaje.
Podkreśla, że gdyby uznać wójta za administratora danych, przekazywanie przez niego danych do ministra byłoby przypadkiem ich udostępniania. – Ponieważ odbywałoby się to w sferze publicznej, musiałby istnieć przepis rangi ustawy, który by to regulował – a takiego nie ma. Nie można więc twierdzić, że mamy do czynienia z udostępnianiem danych, a zatem wójt nie może zostać uznany za administratora danych zawartych w deklaracjach – podsumowuje Paweł Litwiński.
Zdania podzielone
Inną perspektywę przyjmuje Łukasz Grzybek z Kancelarii Radców Prawnych Zygmunt Jerzmanowski i Wspólnicy. Podkreśla, że zbliżone rozwiązania od lat funkcjonują w ustawie o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (t.j. Dz.U. z 2020 r. poz. 2296 ze zm.), która obliguje organy gminy do przyjmowania sporządzonych w postaci papierowej wniosków o wpis do CEiDG, a następnie ich przenoszenia w postaci elektronicznej do bazy.
– W klauzulach informacyjnych przygotowanych przez gminy można znaleźć informację, iż „w zakresie danych przetwarzanych w dokumentacji papierowej i innych zbiorach danych prowadzonych przez organ gminy administratorem jest wójt (burmistrz, prezydent) danej miejscowości ” – wskazuje.
Jego zdaniem na zasadzie analogii należy przyjąć, że administratorem danych w zakresie deklaracji o źródłach ciepła składanych w postaci pisemnej jest wójt (burmistrz, prezydent). I to on powinien zapewnić odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Dotyczy to również przygotowania odpowiednich klauzul informacyjnych, o których mowa w art. 13 i 14 RODO.
Rzecznik prasowy UODO podkreśla z kolei, że odnośnie do zabezpieczenia danych osobowych RODO nie narzuca konieczności stosowania określonych rozwiązań. – Daje administratorom dużą samodzielność w tym zakresie i muszą oni sami określić środki przetwarzania, w tym zabezpieczania danych osobowych, biorąc pod uwagę m.in. ich zakres, posiadane możliwości techniczne i organizacyjne, a także zidentyfikowane ryzyka naruszenia praw i wolności osób, których te dane dotyczą (art. 32 ust. 1 RODO) – dodaje.
Więcej niewiadomych
Gminy, które nie chcą dyskutować ze stanowiskiem wyrażonym przez rzecznika UODO, powinny więc podjąć wiele działań. Mnożą się jednak kolejne pytania dotyczące tego, jak długo mają być przechowywane dane zgromadzone w rejestrach papierowych oraz na jakich zasadach mają one podlegać archiwizacji i brakowaniu. Łukasz Grzybek zaznacza, że rozwiązania w tym zakresie funkcjonują chociażby w przywołanej już ustawie o CEiDG. – Brak rozwiązań rangi ustawowej może prowadzić do tego, że dokumenty zawierające dane osobowe zostaną chociażby przedwcześnie zniszczone. Nie można też wykluczyć, że takie działanie spowoduje wykształcenie się wielu różnych praktyk postępowania, co z pewnością nie będzie służyło standaryzacji i ujednoliceniu procesów związanych z przetwarzaniem i ochroną danych osobowych – konkluduje. ©℗
Obowiązki administratora danych osobowych