Już od lipca część sektora finansów publicznych będzie musiała publikować dane o zawieranych umowach w Centralnym Rejestrze Umów Jednostek Sektora Finansów Publicznych (CRU). W praktyce oznacza to, że wiele podmiotów będzie musiało poukładać od nowa proces zawierania umów. I właśnie słowo „proces” jest tutaj kluczowe, bo CRU nie jest kolejnym obowiązkiem, który można „dorzucić” księgowości albo sekretariatowi. Jeżeli organizacja nie przygotuje się do tego wcześniej, bardzo szybko pojawią się błędy, podwójne wpisy, brak zastępowalności i – co chyba najgorsze – ryzyko nieuprawnionego ujawnienia danych.
Kto musi prowadzić Centralny Rejestr Umów?
Obowiązek wynika z ustawy o finansach publicznych i dotyczy jednostek sektora finansów publicznych. Oznacza to, że rejestr będą prowadzić m.in.:
urzędy gmin, powiatów i województw,
jednostki budżetowe,
samorządowe zakłady budżetowe,
państwowe i samorządowe osoby prawne zaliczane do sektora finansów publicznych,
samorządowe instytucje kultury.
Jakie dane należy wprowadzać do rejestru
Zgodnie z art. 34a ust. 6 ustawy o finansach publicznych (ufp) w CRU udostępnia się m.in.:
numer umowy – o ile taki numer nadano;
datę zawarcia umowy;
okres, na jaki umowa została zawarta;
oznaczenie stron umowy;
wskazanie przedmiotu umowy;
wartość umowy;
wskazanie, czy umowa jest finansowana ze środków, o których mowa w art. 5 ust. 1 pkt 2–3 ufp;
status umowy i dzień zakończenia obowiązywania umowy;
podstawę dokonania aktualizacji informacji, jeśli była wykonana
Ustawa przewiduje w pewnych sytuacjach wyłączenie jawności umowy lub jej części, w przypadku ograniczania informacji wprowadzanych do CRU należy wskazać przyczynę ograniczenia.
RODO a CRU, czyli jakie dane osoby fizycznej będącej stroną umowy podlegają publikacji?
Ustawa o finansach publicznych nie wskazuje, jakie konkretne dane identyfikujące strony umowy mają zostać opublikowane w CRU. W art. 34a ust. 6 wskazano jedynie obowiązek zamieszczenia w rejestrze „oznaczenia stron umowy, w tym przedstawicieli stron”. Tę kwestie doprecyzowuje § 3 ust. 2 rozporządzenia Ministra Finansów i Gospodarki w sprawie Centralnego Rejestru Umów Jednostek Sektora Finansów Publicznych.
W przypadku osoby fizycznej prowadzącej działalność gospodarczą do CRU wprowadza się:
nazwę działalnością pod którą działa przedsiębiorca,
numer REGON,
numer identyfikacji podatkowej (NIP), jeżeli został zamieszczony w bazie REGON,
adres siedziby albo adres wykonywania działalności gospodarczej.
W przypadku jednoosobowej działalności gospodarczej nazwa firmy przedsiębiorcy zawiera również imię i nazwisko tego przedsiębiorcy. W konsekwencji dane te również będą widoczne w rejestrze.
Jeżeli stroną umowy jest osoba fizyczna, która nie prowadzi działalności gospodarczej, to wskazuje się jedynie jej imię i nazwisko. Nie ma w takim wypadku podstaw do publikowania PESEL-u, numeru dowodu, czy adresu.
Wyłączenie jawności z art. 29a ustawy o organizowaniu i prowadzeniu działalności kulturalnej
Przepis ten stanowi wyjątek od zasady jawności i należy interpretować go ściśle. Nie ujawnia się wysokości wynagrodzenia oraz danych osobowych podmiotu świadczącego usługi lub realizującego dostawy z zakresu działalności artystycznej lub twórczej wyłącznie wtedy, gdy:
do umowy nie stosuje się przepisów Prawa zamówień publicznych oraz
podmiot wyraźnie zastrzegł brak możliwości udostępnienia tych informacji.
Dlaczego to takie ważne? Bo samo zawarcie umowy z artystą nie powoduje automatycznie wyłączenia jawności. Niezbędne jest wyraźne zastrzeżenie jawności przez wykonawcę.
Dlatego dobrą praktyką wydaje się:
przeanalizowanie, czy dana umowa rzeczywiście dotyczy działalności artystycznej lub twórczej,
ustalenie, czy nie stosowano Prawa zamówień publicznych,
pozyskanie od wykonawcy jednoznacznego zastrzeżenia poufności (np. w treści zawartej umowy),
udokumentowanie tej okoliczności w aktach sprawy.
Dopiero wtedy można rozważać ograniczenie zakresu danych ujawnianych w CRU. Próba automatycznego wyłączenia wszystkich umów zawieranych przez instytucję kultury może okazać się równie niebezpieczna, jak publikowanie wszystkiego bez żadnej analizy.
Czy trzeba zmieniać klauzule informacyjne?
Moim zdaniem nie ma bezwzględnego obowiązku aktualizacji klauzuli wyłącznie dlatego, że pojawił się CRU. Szczególnie, że udostępnienie danych w ramach CRU stanowi przekazywanie podmiotom i organom uprawnionym na podstawie przepisów prawa, którzy nie są odbiorcami danych w rozumieniu art. 4 RODO.
Natomiast z praktycznego punktu widzenia rekomendowałabym aktualizację klauzuli lub wskazane informacji o możliwości publikacji danych w CRU w zawieranej umowie, aby zapewnić realizację zasady przejrzystości z art. 5 ust. 1 lit. a RODO. Można w umowie dodać zapis:
„Jeżeli wynika to z przepisów prawa, dane osobowe zawarte w umowie, w szczególności dane identyfikujące Wykonawcę – w przypadku gdy jest on osobą fizyczną, ograniczone do imienia i nazwiska, a w przypadku prowadzenia działalności gospodarczej dodatkowo obejmujące nazwę firmy oraz adres wykonywania działalności gospodarczej – jak również przedmiot Umowy i wysokość wynagrodzenia, mogą zostać zamieszczone w Centralnym Rejestrze Umów Jednostek Sektora Finansów Publicznych.”
Aktualizacja klauzuli jest zatem dobrą praktyką realizującą zasadę przejrzystości, ale trudno bronić tezy, że CRU automatycznie powoduje powstanie nowej kategorii odbiorców danych w rozumieniu art. 4 pkt 9 RODO.
Jak zorganizować CRU wewnętrznie?
Jeżeli miałabym wskazać jeden błąd, który będzie pojawiał się najczęściej, to byłoby to wyznaczenie jednej osoby odpowiedzialnej za rejestr. To rozwiązanie działa… do pierwszego urlopu, zwolnienia lekarskiego albo pomyłki. Dlatego rekomendowałabym wyznaczenie minimum dwóch osób uprawnionych do wprowadzania danych. Dodatkowo wprowadzenie zasady dwóch par oczu, przynajmniej na początku, tzn. jedna osoba przygotowuje wpis, druga go weryfikuje.
Warto wprowadzić też krótką instrukcję:
kto zgłasza umowę do wpisu,
w jakim terminie,
kto wprowadza dane,
kto je weryfikuje,
jak postępować z aneksami i rozwiązaniem umowy,
co zrobić, gdy umowa może podlegać wyłączeniu na podstawie art. 29a.
Nie szłabym w kierunku rozbudowanego regulaminu, którego forma będzie odstraszać pracowników od zapoznania się i stosowania.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia?Napisz do mnie
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
