Czy CUW jest odrębnym administratorem danych?
Wydawać by się mogło że o powierzaniu danych osobowych wiemy już wszystko. Od początku stosowania RODO omówiono i rozstrzygnięto wiele niejasności w tym zakresie, kiedy powierzamy (serwis systemów informatycznych, zewnętrzna obsługa BHP), a kiedy jest to oddzielny ADO (pielęgniarka szkolna). Nadal jednak w rzeczywistości polskich urzędów mamy konstrukcje organizacyjne, które są tematem sporów. Takim przykładem może być obsługa kadrowo-płacowa jednostek organizacyjnych gminy, powiatu czy miasta przez centrum usług wspólnych [CUW] lub też przez specjalnie w tym celu stworzony wydział w urzędzie.
Podstawą takiego przetwarzania są ustawy o samorządzie gminnym i powiatowym. Na podstawie uchwały dany samorząd może odgórnie narzucić jednostkom wspólną obsługę: kadrową, finansową, czy informatyczną. Ustawy te (art. 10d U. o samorządzie gminnym i art. 6d U. o samorządzie powiatowym) uprawniają jednostkę obsługującą do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki, ale nie wskazują jej w tym zakresie jako odrębnego administratora. Nadal dla danych przekazywanych do CUW administratorami są jednostki organizacyjne. Takie stanowisko można znaleźć także w Poradnikach i wytycznych Prezesa UODO, np. w odpowiedzi na pytanie „Czy po wejściu stosowania RODO CUW może powołać jednego IOD dla wszystkich obsługiwanych jednostek?” wskazuje, że CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane, a w Poradniku dla szkół określa, że jest to powierzenie danych i należy spełnić wymogi art. 28 aby było ono skuteczne, a jednocześnie zabezpieczało interesy ADO oraz zapewniało odpowiedni poziom bezpieczeństwa danych osobowych: „Jeżeli organ prowadzący szkołę zapewnia jej obsługę administracyjną, prawną, czy finansową, to szkoła, jako administrator danych, udostępnia dane w ramach powierzenia przetwarzania danych tylko w zakresie niezbędnym do realizacji tego celu oraz po spełnieniu wymogów określonych w art. 28 RODO.”
Korzystanie z usług CUW wymaga powierzenia pomiędzy obsługiwaną jednostką a CUW.
Należy podkreślić, że uchwała na podstawie, której jest tworzony CUW można byłoby uznać za „inny instrument prawny” w rozumieniu artykułu 28 ust. 3 RODO i w jej treści (lub aneksie) zamieścić wszelkie wymagane w RODO zasady obowiązujące przy powierzaniu danych osobowych. Przeglądając uchwały samorządów, w żadnej nie spotkałam się z zapisami powierzenia. Zwykle są w nich elementy wskazane ustawami o samorządzie, czyli kto kogo obsługuje i w jakim zakresie. W związku z tym potrzebny jest inny formalny dokument, który te uchwały uzupełni. Jeżeli uregulowanie zasad przekazania danych do CUW będzie następowało w ramach umów powierzenia pomiędzy CUW a jednostkami, dobrze byłoby, aby wszystkie jednostki korzystały ze wspólnego, uzgodnionego wzoru powierzenia (minimalizacja kosztów i czasu). Gdyby takie rozwiązanie było niemożliwe to każdy administrator, dbając o własny interes powinien sporządzić dokument zawierający elementy wskazane w art. 28 RODO i doprowadzić do jego podpisania. Read More