Gminy mogą naruszać prawo, bo dopiero się uczą

Samorządy nie dbają o ochronę dokumentów i danych osobowych własnych pracowników, gdy podpisują umowy na przeprowadzenie wewnętrznego audytu przez zewnętrzną firmę.

Z przeprowadzonego przez Ministerstwo Finansów badania pt. "Prowadzenie audytu wewnętrznego w jednostkach sektora finansów publicznych przez usługodawcę" wynika, że spośród 368 analizowanych urzędów (z czego lwia część - 331 - to samorządy) niemal co czwarty w umowach zawartych z usługodawcą nie uwzględniał wymogów związanych z ochroną danych osobowych pracowników. W przypadku 52 urzędów (14 proc.) w umowach pominięto przepisy zapewniające ochronę dokumentów przed nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem. A umowy zawarte przez 45 jednostek (12 proc.) nie zawierały klauzul gwarantujących usługodawcy dostęp do dokumentów z zachowaniem przepisów ustaw o tajemnicy chronionej. W 101 jednostkach (27 proc.) dopatrzono się braku klauzul dotyczących przekazania zleceniodawcy po zakończeniu umowy dokumentów stworzonych dla celów audytu.

Jednak resort finansów broni urzędów. - Jednostki nabierają doświadczenia w zakresie współpracy z usługodawcami, w tym optymalnego konstruowania umów - odpowiada nam wydział prasowy MF. Wniosek? Umowy podpisywane z usługodawcami to "obszar, na który kierownicy jednostek powinni zwrócić większą uwagę".

Zdaniem resortu w badaniu chodziło o wskazanie dobrych praktyk, które w sposób pożądany przez MF określą sposób postępowania z dokumentami. - Nie można wyprowadzać wniosku, że doszło do faktycznych zaniedbań czy nieprawidłowości w zakresie ochrony danych osobowych czy informacji niejawnych w jednostkach - zaznacza MF.

Urzędy, których umowy miały niedociągnięcia prawne, tłumaczą, że kwestie związane z ochroną dokumentów i danych osobowych określały ich regulacje wewnętrzne lub procedury audytu wewnętrznego. Takiego tłumaczenia nie rozumieją eksperci. Podobnie jak bagatelizowania sprawy przez MF. - Audytor ma dostęp nie tylko do danych osobowych pracowników urzędu, ale do wszelkich dokumentów, informacji i danych związanych z funkcjonowaniem jednostki, a więc też np. do danych zawartych w aktach prowadzonych postępowań. Umowa o przeprowadzenie audytu jest więc umową powierzenia danych osobowych do przetwarzania, a to oznacza, że brak w umowie postanowień wymaganych przez ustawę o ochronie danych osobowych jest naruszeniem prawa. W umowie trzeba wyraźnie wskazać, w jakim celu i zakresie audytor może wykorzystać dane, których dysponentem jest gmina - mówi dr Paweł Litwiński, ekspert ds. ochrony danych osobowych.

Tomasz Żółciak

tomasz.zolciak@infor.pl