Czy CUW jest odrębnym administratorem danych?
Wydawać by się mogło że o powierzaniu danych osobowych wiemy już wszystko. Od początku stosowania RODO omówiono i rozstrzygnięto wiele niejasności w tym zakresie, kiedy powierzamy (serwis systemów informatycznych, zewnętrzna obsługa BHP), a kiedy jest to oddzielny ADO (pielęgniarka szkolna). Nadal jednak w rzeczywistości polskich urzędów mamy konstrukcje organizacyjne, które są tematem sporów. Takim przykładem może być obsługa kadrowo-płacowa jednostek organizacyjnych gminy, powiatu czy miasta przez centrum usług wspólnych [CUW] lub też przez specjalnie w tym celu stworzony wydział w urzędzie.
Podstawą takiego przetwarzania są ustawy o samorządzie gminnym i powiatowym. Na podstawie uchwały dany samorząd może odgórnie narzucić jednostkom wspólną obsługę: kadrową, finansową, czy informatyczną. Ustawy te (art. 10d U. o samorządzie gminnym i art. 6d U. o samorządzie powiatowym) uprawniają jednostkę obsługującą do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki, ale nie wskazują jej w tym zakresie jako odrębnego administratora. Nadal dla danych przekazywanych do CUW administratorami są jednostki organizacyjne. Takie stanowisko można znaleźć także w Poradnikach i wytycznych Prezesa UODO, np. w odpowiedzi na pytanie „Czy po wejściu stosowania RODO CUW może powołać jednego IOD dla wszystkich obsługiwanych jednostek?” wskazuje, że CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane, a w Poradniku dla szkół określa, że jest to powierzenie danych i należy spełnić wymogi art. 28 aby było ono skuteczne, a jednocześnie zabezpieczało interesy ADO oraz zapewniało odpowiedni poziom bezpieczeństwa danych osobowych: „Jeżeli organ prowadzący szkołę zapewnia jej obsługę administracyjną, prawną, czy finansową, to szkoła, jako administrator danych, udostępnia dane w ramach powierzenia przetwarzania danych tylko w zakresie niezbędnym do realizacji tego celu oraz po spełnieniu wymogów określonych w art. 28 RODO.”
Korzystanie z usług CUW wymaga powierzenia pomiędzy obsługiwaną jednostką a CUW.
Należy podkreślić, że uchwała na podstawie, której jest tworzony CUW można byłoby uznać za „inny instrument prawny” w rozumieniu artykułu 28 ust. 3 RODO i w jej treści (lub aneksie) zamieścić wszelkie wymagane w RODO zasady obowiązujące przy powierzaniu danych osobowych. Przeglądając uchwały samorządów, w żadnej nie spotkałam się z zapisami powierzenia. Zwykle są w nich elementy wskazane ustawami o samorządzie, czyli kto kogo obsługuje i w jakim zakresie. W związku z tym potrzebny jest inny formalny dokument, który te uchwały uzupełni. Jeżeli uregulowanie zasad przekazania danych do CUW będzie następowało w ramach umów powierzenia pomiędzy CUW a jednostkami, dobrze byłoby, aby wszystkie jednostki korzystały ze wspólnego, uzgodnionego wzoru powierzenia (minimalizacja kosztów i czasu). Gdyby takie rozwiązanie było niemożliwe to każdy administrator, dbając o własny interes powinien sporządzić dokument zawierający elementy wskazane w art. 28 RODO i doprowadzić do jego podpisania.
Zupełnie inną konstrukcją mogłoby się wydawać umiejscowienie obsługi kadrowo-płacowej w urzędzie gminy, miasta, czy starostwa. Nie powstaje tu jednostka obsługująca ponieważ przetwarzanie odbywa się w urzędzie, najczęściej też taka obsługa nie jest w żaden sposób sformalizowana. Ponownie jednostki obsługiwane będą administratorami danych, a podmiotem przetwarzającym organ realizujący wskazane usługi wspólne. Z punktu widzenia przepisów RODO niezbędne jest zawarcie umowy powierzenia na takie działanie.
Upoważnienia dla pracowników CUW
Zgodnie z art. 28 ust. 3 lit. b RODO już na etapie wskazywania sposobu realizacji praw i obowiązków w umowie lub innym instrumencie prawnym powinniśmy określić, że osoby upoważnione do przetwarzania danych przez podmiot przetwarzający muszą zobowiązać się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Uściślając to podmiot przetwarzający (czy to CUW, czy urząd) upoważnia swoich pracowników, jednocześnie zobowiązując ich do zachowania tajemnicy.
Dobrze sporządzona umowa powierzenia, powoduje, że przekazane przez administratora dane osobowe podmiot przetwarzający nie tylko powinien zabezpieczyć wdrażając odpowiednie środki techniczne i organizacyjne, ale również umożliwić ADO lub upoważnionemu audytorowi sprawdzenie realizacji założeń umowy.
Często administratorzy pytają, czy w dalszym ciągu mają oni pełny dostęp do danych osobowych przekazanych do CUW lub urzędu. Pamiętajmy, że nadal są oni administratorami i podmiot przetwarzający musi udostępniać im dane osobowe potrzebne do prawidłowego zarządzania jednostką organizacyjną. Zapis w art. 6b ustawy o samorządzie powiatowym i odpowiednio art. 10 b ustawy określa, prawo jednostki obsługiwanej do żądania od jednostki obsługującej informacji oraz wglądu w dokumentację w zakresie niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki.
IOD zapewniany przez CUW
Przepisy RODO umożliwiają wyznaczenie przez kilka podmiotów jednego inspektora ochrony danych. Należy podkreślić, że jeden, nie oznacza, że jest on wspólny. IOD musi każdą z jednostek obsługiwać niezależnie, realizując w niej swoje obowiązki wynikające z art. 38 RODO. Każda z jednostek musi niezależnie zgłosić wyznaczonego IOD do Prezesa UODO, czyli nie wystarczy, że zostanie on zgłoszony przez CUW. Jeżeli CUW zapewnia usługę zewnętrznego IOD, ponownie należy uregulować zasady świadczenia tej usługi. Pomijając, że zapewniony IOD musi spełniać wymagania określone w RODO wobec każdego z obsługiwanych podmiotów w zakresie niezbędnej wiedzy i kwalifikacji, CUW musi zapewnić jego usługi w stopniu umożliwiającym zaspokojenie potrzeb każdej z jednostek, wynikających z art. 38 RODO. Świadczenie usług IOD najczęściej wiążę się z przetwarzaniem danych osobowych, na potrzeby kontaktu, szkoleń, ale także audytów i realizowania funkcji punktu kontaktowego dla osób, których dane dotyczą. W związku z tym niezbędne jest albo zawarcie odrębnej umowy powierzenia pomiędzy CUW a obsługiwaną jednostką albo zawarcie niezbędnych zapisów powierzenia w uchwale określającej zadania CUW. Umowa powierzenia reguluje relacje pomiędzy CUW zatrudniającym IOD oraz podmiotem obsługiwanym przez tego IOD. Powierzenie będzie dotyczyło danych osób, które kontaktują się z inspektorem w sprawach związanych z realizacją ich praw przysługujących na mocy RODO, a także danych kontaktowych (służbowych) pracowników, współpracowników oraz kontrahentów. Ze względu na specyfikę wykonywania obowiązków IOD w ramach prowadzonych audytów, niezbędne może być także powierzenie innych danych, do których wgląd będzie niezbędny w związku z prowadzonymi audytami zgodności z RODO.
W przypadku zewnętrznego IOD niezbędne jest zapewnienie tzw. koordynatora po stronie jednostki obsługiwanej, który będzie wspierał IOD w realizowaniu jego obowiązków, np. prowadził niezbędne wykazy lub dopinał zawarcie sprawdzonych przez IOD umów powierzenia. Podobnie jeżeli IOD wyda zalecenia dotyczące ochrony danych, które zostaną zatwierdzone przez administratora, koordynator będzie odpowiedzialny za nadzór nad ich wdrożeniem. Przy naruszeniach dla ochrony danych koordynator, jako osoba będąca stale na miejscu będzie w stanie ustalić stan faktyczny i przekazać IOD niezbędne informacje do podęcia odpowiednich działań. Funkcjonowanie zewnętrznego IOD bez wewnętrznego koordynatora jest bardzo trudne.
Autorkami wpisu są Ewa Kraśniewska i Sylwia Czub-Kiełczewska
Ewa Kraśniewska – Od kilkunastu lat związana z sektorem publicznym, od 2011 roku zajmuje się kontrolą zarządczą, a od roku 2013 jest też audytorem wewnętrznym SZBI. Przez ten czas poszerzała również wiedzę z zakresu ochrony danych osobowych, a od dwóch lat jest IOD. Jej specjalizacją jest ochrona danych osobowych w jednostkach samorządu terytorialnego i w ich jednostkach organizacyjnych.
Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001.
Spodobał się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych.
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.