Gościnnie: Niech administratorem w gminie będzie gmina
Kto jest administratorem danych w gminie? Pytanie to zadaje sobie pewnie większość inspektorów ochrony danych. Moim zdaniem za ADO w gminie powinna być uznawana właśnie ta gmina. Dlaczego? Administrator danych jest adresatem szeregu obowiązków wynikających z RODO i odpowiada między innymi za:
przetwarzanie danych zgodnie z zasadami – art. 5,
realizację żądań osób, których dane dotyczą – art. 15-22,
zapewnienie bezpieczeństwa przetwarzania danych – art. 32,
współpracę z organem nadzorczym – art. 31,
zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu – art.35,
zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych – art. 34,
wyznaczenie inspektora ochrony danych.
W art. 9 ustawy o ochronie danych osobowych [ustawa ODO], jako podmioty publiczne zobowiązane do zgłoszenia inspektora ochrony danych zostały wskazane jednostki sektora finansów publicznych, do których zgodnie z ustawą o finansach publicznych (art. 9) zalicza się jednostki samorządu terytorialnego, jak gminy, powiaty, województwa.W tak ujętym określeniu podmiotu publicznego za administratora w jednostkach samorządu terytorialnego jak najbardziej można byłoby przyjąć gminę, w której organem wykonawczym, działającym w jej imieniu jest wójt.
Podstawy prawne dotyczące jednostki samorządu terytorialnego, to między innymi Konstytucja Rzeczypospolitej Polskiej, zgodnie, z którą samorząd terytorialny wykonuje zadania publiczne nie zastrzeżone przez Konstytucję lub ustawy dla organów innych władz publicznych. A podstawową jednostką samorządu terytorialnego jest gmina. Inne jednostki samorządu regionalnego albo lokalnego i regionalnego określa ustawa. Gmina wykonuje wszystkie zadania samorządu terytorialnego nie zastrzeżone dla innych jednostek samorządu terytorialnego. Należy także podkreślić, że JST mają osobowość prawną. Przysługują im prawo własności i inne prawa majątkowe. Samodzielność jednostek samorządu terytorialnego podlega ochronie sądowej. JST realizuje zadania publiczne służące zaspokajaniu potrzeb wspólnoty samorządowej jako zadania własne. Gmina, jako JST wykonuje swoje zadania za pośrednictwem organów stanowiących i wykonawczych. (art. 163-169 Konstytucji).
Gmina, jako podmiot posiadający zdolność sądową w rozumieniu Kodeksu postępowania cywilnego ponosi również odpowiedzialność cywilnoprawną za naruszenie ochrony danych osobowych, która została ujęta w ustawie ODO, w szczególności, w:
– art. 92 – do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 RODO, nakazuje stosowanie w ramach odpowiedzialności cywilnej przepisów ustawy z dnia 23 kwietnia 1964r. – Kodeks cywilny.
– art. 100 – o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych , o których mowa w art. 79 i art. 82 RODO, stosuje się przepisy ustawy z dnia 17 listopada 1964r. Kodeks postępowania cywilnego.
Oprócz odpowiedzialności cywilnej może grozić także odpowiedzialność administracyjna za naruszenie przepisów RODO. Zgodnie z art. 102 ust. 1 pkt. 1 ustawy ODO Prezes UODO może nałożyć na jednostkę sektora finansów publicznych o której mowa w art. 9 ustawy o finansach publicznych (czyli gminę) administracyjną karę pieniężną w wysokości do 100 tys. złotych.
Za przyjęciem odpowiednich rozwiązań, które usankcjonowałyby gminę w roli administratora danych przetwarzanych w gminie przemawia także rola i obowiązki gminy wynikające z przepisów o samorządzie gminnym. Należy także podkreślić, że gmina posiada osobowość prawną, a co za tym idzie wszystkie umowy zawierane są przez gminę, w imieniu której podpisują je działające w jej imieniu organy. Sam wójt jest organem wykonawczym gminy, wykonuje uchwały rady gminy i zadania gminy określone przepisami prawa.
Przyjmując na podstawie ustaw sektorowych, że w gminie funkcjonuje równocześnie kilku administratorów, w szczególności gmina, rada gminy, wójt, kierownik stanu cywilnego, miejski rzecznik praw konsumenta, wszelkiego rodzaju komisje, itd. Dochodzimy do momentu, gdy pod jednym dachem, we wspólnych strukturach funkcjonują podmioty odrębnie odpowiedzialne za ochronę danych osobowych przetwarzanych w gminie. Swoje przetwarzania realizują na wspólnej infrastrukturze technicznej, w oparciu o tożsame (ale nie te same) zabezpieczenia organizacyjne. Jednakże ostatecznie za ich działania, które w szczególności mogą wynikać z niewiedzy ostatecznie odpowiedzialność finansową poniesie gmina. Wielu administratorów pod jednym dachem może prowadzić do rozmycia odpowiedzialności, a także po prostu generować ryzyka dla ochrony danych osobowych. Obecny stan prawny często może także powodować, że Ci „szczątkowi administratorzy” nie poczuwają się do odpowiedzialności za ochronę przetwarzanych danych, uważając że jest to obowiązkiem działającego w imieniu gminy wójta.
Zagrożenia związane z wyznaczeniem kilku administratorów danych w gminie to między innymi:
Prowadzenie oddzielnych dokumentacji dla każdego z administratorów – może być przyjęta jedna polityka bezpieczeństwa, ale załączniki do polityki powinny być prowadzone oddzielnie (rejestr czynności przetwarzania, rejestr kategorii przetwarzania, umowy powierzenia przetwarzania danych, rejestr incydentów, rejestr wydanych upoważnień, itd.).
Brak możliwości łączenia zbiorów danych (motyw 31 RODO), czyli każdy z administratorów powinien posiadać oddzielne systemy informatyczne, np. EZD – system teleinformatyczny do elektronicznego zarządzania dokumentacją.
Pracownicy urzędu otrzymują kilka upoważnień, każde od innego z administratorów, w dodatku część z nich nadawała jedna i ta sama osoba, działająca w imieniu odrębnych ADO.
Konieczność uregulowania współpracy pomiędzy administratorami – jedna osoba fizyczna, np. Wójt ma sam z sobą podpisać porozumienia?
W przypadku wyznaczenia jednego IOD problem z wykonywaniem zadań, w tym niezależnością, szczególnie, gdy poszczególni administratorzy będą mieli różne podejście do bezpieczeństwa przetwarzanych danych (art. 32 RODO) – każdy z nich będzie chciał zastosować inne środki organizacyjne i techniczne – może być niewykonalne w jednym budynku.
W przypadku naruszenia ochrony danych, który z ADO jest zobligowany zgłosić naruszenie? Wójt jako organ, czy wójt jako kierownik urzędu, czy wójt jako kierownik USC?
Jak przeprowadzić analizę ryzyka, gdy dane przetwarzane są przez pracowników jednego urzędu, którzy „podlegają” pod kilku tak odrębnych administratorów?
W jaki sposób określić administratora w sytuacji, gdy miasto jest na prawach powiatu, gdzie prezydent miasta pełni również funkcję starosty?
Przed stosowaniem RODO do GIODO, jako administratorów zbiorów danych, w późniejszym okresie również informacje o wyznaczeniu administratora bezpieczeństwa informacji podawane były Gminy, a nie jej organy. Na niedostępnej już stronie egiodo.giodo.gov.pl dla ponad 34 tysięcy zbiorów przyjęto, że administratorem jest gmina. Za gminę, jako administratora przyjął także GIODO w swoich wyjaśnieniach „Jak chronić dane w gminie” https://giodo.gov.pl/394/id_art/1774/j/pl.
Na stronie https://uodo.gov.pl/pl/138/445 dostępny jest artykuł „Zasady współpracy audytora wewnętrznego i IOD określone przez Ministerstwo Finansów i Prezesa UODO” w którym określono, że administratorem jest jednostka sektora publicznego: „(…) Obowiązkiem każdej jednostki sektora publicznego jako administratora danych jest czuwanie nad zgodnym z prawem przetwarzaniem danych osobowych i właściwą organizacją bezpieczeństwa informacji. W osiągnięciu tego celu jednostka powinna korzystać zarówno z pomocy audytorów, jak i inspektorów ochrony danych.(…)”
Czy wyznaczanie wielu administratorów w ramach jednego urzędu lepiej zagwarantuje poszanowanie praw i wolności osób fizycznych, których dane są przetwarzane przez gminy? Moim zdaniem wyznaczenie kilku administratorów w jednym urzędzie spowoduje dezorganizację i rozproszenie odpowiedzialności. W praktyce utrudnia także skorzystanie z podstawowych praw wynikających z przepisów RODO.
Autorem wpisu jest Piotr Tulski.
Administrator sieci komputerowych, od 2011 r. związany z samorządem, dawniej pełniący funkcję Administratora Bezpieczeństwa Informacji, od 2018 r. Inspektor Ochrony Danych.
