Czy sołtys też będzie musiał powołać inspektora ochrony danych

Sołtysi nierzadko mają dostęp do danych osobowych mieszkańców (m.in. prowadzą na ich rzecz działania informacyjne, a także zawiadamiają o ważnych dla nich sprawach oraz o organizacji gminy). Czy w takim razie także oni będą mieć obowiązek przestrzegania przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO), które zacznie obowiązywać 25 maja br.? A jeśli tak, to czy są samodzielnymi administratorami, co oznacza, że muszą zabezpieczyć przetwarzane dane oraz powołać inspektora ochrony danych (IOD)? I wreszcie, czy za naruszenia grożą im kary? Odpowiedzi na te pytania - jak się okazuje - wcale nie są łatwe.

Doktor Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna "ABI Expert", zauważa, że problem interpretacji wynika z niejasności obowiązujących przepisów o samorządzie gminnym oraz niespójnego orzecznictwa generalnego inspektora ochrony danych osobowych (GIODO). - W przeszłości GIODO czasem uznawało za samodzielnych administratorów danych osobowych rady gmin, a czasem wójtów. Tym bardziej nie wiadomo, jaką rolę w przetwarzaniu danych osobowych pełnią stojący na czele jednostek pomocniczych sołtysi. Przy czym sprawa dotyczy nie tylko sołtysów, ale również np. zarządów osiedli, rad seniorów, rad młodzieżowych oraz miejskich, związków międzygminnych i powiatowych. Tę kwestię powinno się wyjaśnić w przepisach wdrażających RODO do polskiego porządku prawnego - uważa dr Marlena Sakowska-Baryła.

Wynagrodzenia brak, a kary grożą

Dlaczego niejasność interpretacji to duży problem dla sołtysów? Otóż może się okazać, że są zobowiązani nie tylko do wdrożenia odpowiednich zabezpieczeń przetwarzanych danych, zebrania zgód na ich gromadzenie i przetwarzanie, a także powołania inspektora ochrony danych. A niewykluczone, że za ewentualne naruszenia ryzykowaliby też prywatnym majątkiem - zgodnie z projektem ustawy o ochronie danych osobowych - nawet do 100 tys. zł.

Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, związany z Instytutem Allerhanda mówi, że zgodnie z art. 39 ust. 4 ustawy o samorządzie gminnym do załatwiania indywidualnych spraw z zakresu administracji publicznej rada gminy może upoważnić również organ wykonawczy jednostki pomocniczej, czyli sołtysa. - Jeżeli więc sołtys posiada takie upoważnienie, to w ramach postępowań, które prowadzi, przysługuje mu status samodzielnego administratora danych osobowych - uważa dr Litwiński. Może więc wykonywać zadania przetwarzania danych w ramach zadań zgodnie z ustawą o samorządzie gminnym. Formalnie powinien też powołać inspektora ochrony danych osobowych, chociaż rozsądek podpowiada, aby to gmina zapewniła sołtysom IOD - np. w ramach centrum usług wspólnych. Chodzi o to, by nie zmuszać sołtysów do wykładania z własnej kieszeni pieniędzy na zatrudnienie inspektora. Zdaniem dr. Litwińskiego nieco inaczej powinna wyglądać sytuacja, gdy sołtys został wyznaczony do bycia inkasentem podatkowym, wówczas gmina powinna z nim podpisać umowę o powierzenie danych osobowych.

Przecież działa z upoważnienia urzędu

Innego zdania jest radca prawny Adam Lewiński, zastępca GIODO w latach 2006-2016, obecnie prezes fundacji im. Józefa Wybickiego oraz przewodniczący Komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej. - Według mnie sołtys działa z ramienia urzędu gminy i nie powinien być uznany za samodzielnego administratora danych - mówi mec. Adam Lewiński. Wskazuje, że sołtys nie ustala celów i zasad przetwarzania danych, nie powinien więc też zbierać zgód na to przetwarzanie. Ekspert podkreśla, że to gmina jest administratorem i to ona powinna ponosić odpowiedzialność. Sołtysa powinno się zaś zaliczać do wewnętrznych struktur gminy. Mówiąc prościej - nie powinien on działać na podstawie umowy o powierzeniu danych.

WAŻNE

Jeżeli sołtysi zostaną uznani za samodzielnych administratorów danych, to będą mieli obowiązek powołania inspektorów danych osobowych

Wtóruje mu dr Marlena Sakowska-Baryła. Ekspertka zauważa, że sołtysi pełnią funkcję społecznie, nie mają więc ani zaplecza technicznego, ani pieniędzy na zatrudnienie IOD. Działają na podstawie upoważnienia gminy, o którym stanowi ustawa o samorządzie gminnym. Prawniczka dodaje, że sołtys istotnie przetwarza dużo danych, ale nie ustala celów tego przetwarzania, robi to gmina. - Oznacza to, że IOD gminy powinien kontrolować również działania sołtysów. Ewentualnie, gdyby organ nadzorczy (obecnie GIODO - red.) uznał, że sołtysi są administratorami danych, to gminy powinny zapewnić im dostęp do IOD działających dla gminy bądź tych funkcjonujących w ramach centrum usług wspólnych - mówi dr Sakowska-Baryła. Czy jednak sołtysi mogliby odpowiadać cywilnie za naruszenia danych? Zdaniem ekspertki - nie. Wszak istnieje koncepcja odpowiedzialności anonimowej przy naruszeniach dokonywanych przez instytucje publiczne. ⒸⓅ

Wdrażamy RODO w administracji

@RY1@i02/2018/081/i02.2018.081.088000300.802.jpg@RY2@

To tytuł cyklu, z którym dziś startujemy. Będziemy w nim odpowiadać na newralgiczne pytania różnych instytucji na temat tego, jak po 25 maja ma wyglądać ochrona danych osobowych. A problemów nie brakuje, co jest pokłosiem m.in. tego, że zamiast jasnych zasad i procedur RODO daje dużą swobodę w zakresie doboru odpowiednich środków. Co więcej, okazuje się, że nie wszyscy są świadomi nowych obowiązków. Pierwszą część cyklu poświęcamy sporowi na temat tego, czy sołtys jest administratorem danych oraz obowiązkom bibliotek i domów kultury. W kolejnych numerach pokażemy najważniejsze zadania związane z RODO m.in. w szpitalach czy muzeach. ⒸⓅ

Stanowisko z 23 kwietnia 2018 r.

@RY1@i02/2018/081/i02.2018.081.088000300.801.jpg@RY2@

Biorąc pod uwagę definicję administratora zawartą w art. 4 pkt 7 RODO, to dla ustalenia, czy dany podmiot można uznać za administratora, istotna będzie jego samodzielność w podejmowaniu decyzji o celach i sposobach przetwarzania danych.

W szeroko rozumianym sektorze publicznym podmiot będący administratorem danych może być wskazany w konkretnym przepisie prawa, jednak najczęściej ta rola wynika z charakteru, kompetencji lub /i/ zakresu zadań publicznych, jakie przepisy te mu przypisują. Wskazuje na to Grupa Robocza Art. 29 w opinii 1/2010 w sprawie pojęć "administratora danych" i "przetwarzającego". Jednocześnie w dokumencie tym podkreśla się, że konkretne stosowanie pojęcia administratora staje się obecnie coraz bardziej złożone ze względu na zróżnicowanie form prawnych oraz organizacyjnych różnych podmiotów, które faktycznie decydują o celach i środkach przetwarzania.

Jeśli chodzi o sołectwo, to pamiętać należy, że jest ono jedynie jednostką pomocniczą gminy. Zgodnie z art. 35 ustawy o samorządzie gminnym rada gminy w odrębnym statucie określa organizację i zakres działania jednostki pomocniczej.

Biorąc pod uwagę dotychczasową praktykę funkcjonowania sołectw, to najczęściej gminy decydowały o celach i środkach przetwarzania danych przez sołectwa - zatem GIODO nie traktował ich jako administratorów danych. Na gruncie RODO pewnie będzie podobnie, choć ze względu na zmianę definicji administratora nie można wykluczyć, iż dojdzie do sytuacji, w której to sołectwo - ze względu na okoliczności danego przypadku - będzie mogło zostać uznane za administratora.

Jeśli zaś chodzi o wyznaczanie IOD, to obowiązek taki spoczywa na podmiotach z sektora publicznego. Dotyczy on administratorów i podmiotów przetwarzających - jak wskazuje projekt nowej ustawy o ochronie danych osobowych - przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumiane będą te wskazane w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych. Przepis ten nie wymienia jednostek pomocniczych gmin. ⒸⓅ

Oprac. JAS

Jakub Styczyński

jakub.styczynski@infor.pl

@JakubStyczynski