RODO w samorządzie – 7 rozwiązań dla naszych Czytelników

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 14 sierpnia 2018
Kto ma w ręku dane osobowe pracownika, musi mieć upoważnienie

Co oczywiste, dane osobowe przetwarzane są także w ramach jednostek samorządu terytorialnego. Dotyczy to wielu sfer ich działalności m.in. względem petentów, pracowników urzędu czy w związku z organizacją wyborów. Działalność jednostki samorządu terytorialnego w każdej dziedzinie musi być zgodna z przepisami RODO, co niestety rodzi wiele wątpliwości w praktyce. Prezentujemy odpowiedzi na pytania najczęściej zadawane przez naszych Czytelników.

Kto pełni funkcję ADO – gmina, burmistrz czy urząd?

Pytanie:

Kto jest administratorem danych osobowych przetwarzanych w związku z działalnością urzędu miejskiego - urząd miejski, urząd miejski reprezentowany przez burmistrza czy też gmina?

Odpowiedź:

To zależy od tego, w jakiej sytuacji są przetwarzane dane.

Celem wstępu należy wskazać, że administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO). Administratorem danych jest zatem każdy podmiot, niezależnie od jego statusu prawnego, który decyduje o celach i sposobach przetwarzania danych osobowych. W przypadku podmiotów z sektora publicznego cele i środki przetwarzania przez te podmioty danych osobowych będą co do zasady wynikały z przepisów prawa, które określają zadania i kompetencje tych podmiotów. Te przepisy prawa będą także rozstrzygały czy dany podmiot (organ publiczny, jednostka samorządu, jednostka organizacyjna) posiada status administratora w stosunku do danych osobowych przetwarzanych w związku z realizacją powierzonych ustawowo zadań.

Wobec tego za administratora danych może być w ramach jednego urzędu miejskiego uznana gmina, urząd miejski lub burmistrz miasta. Kwestia, który z tych podmiotów będzie administratorem danych będzie zależała od przepisów prawa mających zastosowanie w konkretnej sytuacji. Przykładowo gmina jest uznawana za administratora danych osobowych przetwarzanych np. w ramach zamówień publicznych. Natomiast urząd gminy jest administratorem danych pracowników urzędu albowiem jest ich pracodawcą (wyrok Sądu Najwyższego z 21 grudnia 1992 r. I PRN 52/92).

Uwaga

Nie ma jednego stałego administratora danych w jednostce samorządu terytorialnego. Ustalenie, kto jest administratorem, zależy od kontekstu sytuacyjnego.

Upoważnienia do przetwarzania danych wystawia samorządowa jednostka organizacyjna

Pytanie:

Pracownicy samorządowych jednostek organizacyjnych posiadają upoważnienia do rozpatrywania spraw i składania podpisu pod decyzjami administracyjnymi. Czy w związku z tym konieczne jest zawarcie umowy powierzenia przetwarzania danych pomiędzy gminą a tymi pracownikami?

Odpowiedź:

Nie. To podmiot uzyskujący kompetencje do prowadzenia postępowania administracyjnego pełni rolę administratora danych przetwarzanych w takim postępowaniu.

Jak już wskazano, nie zawsze administratorem danych osobowych jest urząd gminy. Wprawdzie kompetencje w zakresie wydawania decyzji w indywidualnych sprawach z zakresu administracji publicznej przyznane zostały organom wykonawczym jednostki samorządu terytorialnego. Nie oznacza to jednak, że kompetencje te organy muszą wykonywać osobiście. Przepisy ustaw samorządowych i Kodeksu postępowania administracyjnego przewidują możliwość udzielania upoważnień określonym osobom i podmiotom do wydawania decyzji w imieniu organów wykonawczych. Na poziomie gminy upoważnienie może zostać udzielone zastępcom wójta (burmistrza, prezydenta miasta), pracownikom urzędu gminy, organom wykonawczym jednostek pomocniczych (np. sołtysowi), organom jednostek organizacyjnych gminy czy też organom podmiotów, którym gmina w drodze porozumienia zleciła wykonywanie zadań gminy. Podmioty te mogą udzielić dalszych upoważnień na podstawie art. 268a Kodeksu postępowania administracyjnego. Jeśli wójt (burmistrz, prezydent) udzielił upoważnienia np. swojemu zastępcy lub pracownikowi urzędu to upoważnione przez niego osoby działają w jego imieniu.

Jednakże jeśli upoważnienia udzielono organowi jednostki organizacyjnej gminy lub innemu wskazanemu w art. 39 ust. 4 ustawy o samorządzie gminnym to przyjmuje się, że podmioty te działają we własnym imieniu, a nie w imieniu wójta, a zatem wskutek upoważnienia uzyskują status organu. W orzecznictwie wskazuje się, że w takiej sytuacji kompetencja do załatwiania indywidualnych spraw z zakresu administracji publicznej przenosi się na inny organ, a kompetencję tę traci organ dotychczasowy. Upoważniony w trybie art. 39 ust. 4 ustawy o samorządzie gminnym organ jednostki organizacyjnej gminy może - działając na podstawie art. 268a Kodeksu postępowania administracyjnego - udzielić dalszych upoważnień do załatwiania spraw w swoim imieniu pracownikom jednostki organizacyjnej, którą kieruje.

Uwaga

Upoważniony organ jednostki organizacyjnej gminy w zakresie przekazanych mu kompetencji – biorąc pod uwagę regulacje Kodeksu postępowania administracyjnego - posiada status administratora danych osobowych.

W takiej sytuacji zbędne jest zawieranie umowy powierzenia przetwarzania danych pomiędzy organem jednostki organizacyjnej (lub jej pracownikami) a wójtem czy radą gminy.

Dane osobowe pracowników na drzwiach w urzędzie

Pytanie:

Czy na tabliczkach informacyjnych na drzwiach do poszczególnych pomieszczeń w urzędzie powinien znajdować się jedynie numer pokoju i zakres wykonywanych czynności?

Odpowiedź:

Umieszczanie na tabliczkach informacyjnych na drzwiach biur danych osobowych (imienia i nazwiska) pracowników jest dopuszczalne i zależy od przyjętych w zakładzie pracy rozwiązań organizacyjnych, w szczególności od decyzji pracodawcy.

Dane osobowe pracownika takie jak jego imię i nazwisko, służbowy adres e-mail lub numer telefonu stanowią dane służbowe, bowiem są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Powszechnym jest pogląd, że pracodawca jest uprawniony do ich ujawniania nawet bez zgody pracownika. Przetwarzanie danych służbowych bez zgody pracownika było dopuszczalne na gruncie poprzednio obowiązującej ustawy o ochronie danych osobowych i jest nadal dopuszczalne na gruncie RODO. Administrator danych osobowych może się tu powołać - w zależności od okoliczności faktycznych – na podstawę określoną w:

  • art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej) lub
  • art. 6 ust. 1 lit. f RODO (prawnie usprawiedliwiony interes realizowany przez administratora danych lub przez stronę trzecią).

Ponadto dane służbowe pracowników starostwa - jeśli pracownicy ci pełnią funkcje publiczne – są jawne i podlegają udostępnieniu także w trybie dostępu do informacji publicznej.  Pracownicy urzędu posiadający wpływ na procesy decyzyjne w zakresie realizacji zadań o znaczeniu publicznym (tj. nie wykonujący tylko czynności administracyjnych i pomocniczych) uznawani są za osoby pełniące funkcje publiczne. Wobec tego ich dane służbowe są jawne (art. 5 ust. 2 ustawy o dostępie do informacji publicznej).

Zdaniem Sądu.

Posługiwanie się danymi służbowymi pracownika nie stanowi także naruszenia żadnych z ich dóbr osobistych. Zgodnie z wyrokiem Sądu Najwyższego z 19 listopada 2003 r. I PK 590/02: „Ujawnienie przez pracodawcę nazwiska (imienia) pracownika bez jego zgody nie stanowi bezprawnego naruszenia dobra osobistego, jeżeli jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu, jest niezbędne i nie narusza praw oraz wolności pracownika”.

Uwaga

Masz wątpliwości, czy legalnie przetwarzasz dane osobowe swoich pracowników? Skorzystaj z audytu zgodności z RODO. Nasz ekspert sprawdzi, czy nie naruszasz prawa i tym samym nie narażasz się na kary finansowe!

Umowa wzajemnego powierzenia przetwarzania danych pomiędzy gminą a KBW

Pytanie:

Krajowe Biuro Wyborcze (KBW) przesłano do gminy umowę o wzajemnym powierzeniu przetwarzaniu danych osobowych, w której wskazuje KBW i gminę jako Administratora i podmiot przetwarzający. Czy nie powinna być w tym przypadku umowa o współadministrowaniu? Wszak KBW powierza gminie w trybie art. 28 ust. 3 RODO przetwarzanie danych osobowych kandydatów i członków obwodowych komisji wyborczych, kandydatów na radnych, kandydatów na posłów, senatorów, pełnomocników komitetów wyborczych, operatorzy informatycznej obsługi obwodowych komisji wyborczych, urzędników wyborczych, a z kolei gmina powierza KBW jako podmiotowi przetwarzającymi w trybie art. 28 ust. 3 RODO dane wyborców, dane wyborców zgłaszających chęć głosowania korespondencyjnego, osoby posiadające uprawnienia do obsługi poszczególnych modułów systemu wyborczego.

Odpowiedź:

Nie. Realizacja wspólnego celu rozumianego ogólnie jako przeprowadzenie wyborów jest niewystarczająca do uznania, że podmioty współpracujące są współadministratorami danych osobowych.

W przypadku powierzenia przetwarzania danych procesor wykonuje operacje na danych osobowych zgromadzonych przez administratora danych w imieniu i na rzecz administratora.  Podmiot przetwarzający nie realizuje własnych celów przetwarzania danych, a realizuje cele przetwarzania danych określone przez administratora danych. Może przetwarzać powierzone dane jedynie w zakresie wskazanym przez administratora danych.

Czynności związane z przetwarzaniem danych, jakie realizuje podmiot przetwarzający, nie są zatem związane z podejmowaniem decyzji co do celów i środków przetwarzania danych. Natomiast zgodnie z art. 26 RODO w przypadku współadministrowania danymi co najmniej dwóch administratorów danych wspólnie ustala cele i sposoby przetwarzania danych. Każdy ze współadministratorów realizuje zatem własne, ale wspólnie ustalone cele przetwarzania danych. Współadministratorzy w drodze wspólnych uzgodnień (np. w  drodze pisemnego porozumienia) zobowiązani są ustalić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.

Krajowe Biuro Wyborcze zapewnia obsługę Państwowej Komisji Wyborczej, komisarzy wyborczych, Korpusu Urzędników Wyborczych oraz innych organów wyborczych w zakresie określonym w kodeksie wyborczym oraz innych ustawach. Krajowe Biuro Wyborcze współdziała z właściwymi organami administracji rządowej oraz jednostkami samorządu terytorialnego w celu realizacji zadań związanych z organizacją i przeprowadzaniem wyborów oraz referendów. Okoliczność, że KBW współdziała z innymi organami nie oznacza, że te inne podmioty są współadministratorami danych osobowych. Wspólny cel rozumiany ogólnie jako przeprowadzenie wyborów jest także niewystarczający do uznania, że podmioty współpracujące są współadministratorami danych osobowych. W przypadku podmiotów publicznych o tym, czy dany podmiot jest uznawany za administratora (współadministratora) danych, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 17 listopada 2004 r. II SA/Wa 887/04).

Uwaga

To konkretne przepisy Kodeksu wyborczego będą rozstrzygały, czy to KBW czy gmina posiada status administratora w stosunku do danych osobowych przetwarzanych w związku z realizacją powierzonych ustawowo zadań i na jakim etapie ich realizacji. 

Upoważnienia dla radnych gminy nie są konieczne

Pytanie:

Czy radny będący członkiem komisji rewizyjnej powinien zostać upoważniony do przetwarzania danych osobowych w związku z czynnościami kontrolnymi?

Odpowiedź:

Nie. Skoro przepisy ustawy o samorządzie gminnym zobowiązują radę gminy (a tym samym jej członków) do wykonywania zadań o charakterze kontrolnym w ramach komisji rewizyjnej to uznać należy, że przetwarzanie danych osobowych jest dopuszczalne, jeśli jest niezbędne dla realizacji tych zadań tj. wypełnienia obowiązku wynikającego z przepisów prawa. Dlatego nie ma potrzeby wydawania radnym przez przewodniczącego rady miejskiej odrębnych upoważnień do przetwarzania danych.

Ustawa o samorządzie gminnym wskazuje, że rada gminy jest organem stanowiącym i kontrolnym. Rada gminy w ramach sprawowania funkcji kontrolnej w szczególności kontroluje działalność wójta, gminnych jednostek organizacyjnych oraz jednostek pomocniczych gminy oraz rozpatruje skargi na działania wójta i gminnych jednostek organizacyjnych oraz wnioski oraz petycje składane przez obywateli.

W ustawie o samorządzie gminnym nie wskazano, do jakich informacji i jakich danych może mieć dostęp rada gminy i jej członkowie w ramach wykonywania powierzonych ustawowo zadań. Należy jednak uznać, że możliwość dostępu rady i poszczególnych radnych (członków organu kolegialnego) do danych osobowych przedstawionych podczas prac w ramach komisji rewizyjnej wynika z kontrolnej i stanowiącej funkcji rady gminy. Przetwarzanie danych osobowych przez radnych należy uznać za dopuszczalne, jako że jest niezbędne dla wykonania przez radę gminy i radnych ustawowo nałożonych zadań.

Uwaga

Z uwagi na fakt, że możliwość przetwarzania danych osobowych w zakresie i w ramach sprawowania funkcji kontrolnych wynika z przepisów ustawy o samorządzie gminnym, to brak jest podstaw do wydawania przez przewodniczącego rady gminy upoważnień poszczególnym radnym do przetwarzania danych osobowych. 

Nagrywanie posiedzeń rady gminy nie wymaga zgody uczestników

Pytanie:

Obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Czy potrzebna będzie zgoda osób biorących udział w sesji (jako radni, goście, mieszkańcy) na udostępnianie tych nagrań w BIP? Czy należy wypełnić względem nich obowiązek informacyjny?

Odpowiedź:

To zależy od tego, na jakiej podstawie przetwarzane są dane petentów. Obowiązek informacyjny powinien być zrealizowany np. przez stosowne ogłoszenie na posiedzeniu.

Zasada jawności i dostępności do posiedzeń kolegialnych organów władzy publicznej przewidziana została w ustawie o samorządzie gminnym, ale także w ustawie o dostępie do informacji publicznej. Przebieg obrad rad gmin jest obowiązkowo utrwalany za pomocą urządzeń rejestrujących nie tylko dźwięk, ale i obraz, co wprost wynika z art. 20 ust. 1b ustawy o samorządzie gminnym. Co więcej gminy są zobowiązane do udostępniania nagrań sesji w Biuletynie Informacji Publicznej, na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty. Jeśli chodzi o przetwarzanie danych osobowych w postaci wizerunków osób uczestniczących w sesji to nie ma konieczności uzyskiwania ich zgody bowiem zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Wskazane wyżej przepisy prawa ustawy o samorządzie gminnym i ustawy o dostępie do informacji publicznych nakładają na gminę obowiązki, dla realizacji których niezbędne jest przetwarzanie danych osobowych uczestników sesji.

Uwaga

Zgodnie z art. 81 ustawy o prawie autorskim i prawach pokrewnych zgoda osoby fizycznej na rozpowszechnianie jej wizerunku nie jest wymagana w szczególności, gdy wizerunek osoby stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza lub chodzi o wizerunek osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych.

Jeśli chodzi o obowiązek informacyjny, to RODO nie precyzuje, w jakiej formie powinien on być spełniony. Może to być informacja pisemna, elektroniczna, a w niektórych przypadkach nawet ustna. Zgodnie z zasadą rozliczalności administrator danych powinien umieć wykazać, że wypełnił obowiązek informacyjny zgodnie z wymogami RODO. W związku z tym klauzula informacyjna może być zamieszczona np. w ogłoszeniu o sesji rady gminy czy w widocznym miejscu przed wejściem na salę obrad.   

Co podać w klauzuli informacyjnej dla petentów urzędu?

Pytanie:

Jakie uprawnienia podmiotu danych przysługują petentom składającym podania do urzędu gminy?

Odpowiedź:

To zależy od tego, na jakiej podstawie przetwarzane są dane petentów.

Każdy administrator danych objęty jest obowiązkiem informacyjnym wynikającym z art. 13 i 14 RODO. Z przepisów tych wynika, że administrator danych zobowiązany jest przekazać osobie, której dane dotyczą, określony katalog informacji chyba, że zachodzi jeden z wyjątków określonych odpowiednio w art. 13 ust. 4 i art. 14 ust. 5 RODO. Administrator podaje osobie, której dane dotyczą, m. in. informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, a w szczególności informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.

Zakres praw przysługujących osobie, której dane dotyczą zależy od podstawy prawnej, na jakiej administrator przetwarza dane osobowe oraz od sposobu przetwarzania danych. I tak:

  1. Jeśli przesłanką przetwarzania danych jest zgoda petenta, wówczas administrator zobowiązany jest poinformować osobę, której dane dotyczą o prawie do cofnięcia zgody w dowolnym momencie z zastrzeżeniem, że cofnięcie zgody pozostaje bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  2. Jeżeli przetwarzanie odbywa się w sposób zautomatyzowany, to dodatkowo należy poinformować o prawie do przenoszenia danych.
  3. Jeżeli przetwarzanie danych oparte jest o przesłanki z art. 6 ust. 1 lit. e lub f RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem) lub gdy dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, do celów badań naukowych, historycznych lub do celów statystycznych, administrator danych powinien dodatkowo poinformować osobę, której dane dotyczą, o prawie do wniesienia sprzeciwu wobec przetwarzania dotyczących jej danych osobowych.

Klauzula informacyjna w zakresie informacji o prawach osób, których dane dotyczą, powinna być zatem dostosowana do okoliczności faktycznych konkretnego przypadku, zwłaszcza do podstaw przetwarzania danych osobowych.

Uwaga

Jak sformułować klauzulę informacyjną, gdy administratorem jest jednostka samorządowa? Nie sposób ustalić jeden uniwersalny wzór klauzuli, ponieważ jej treść będzie różniła się w zależności od konkretnej sytuacji. Dlatego zachęcamy do skorzystania z możliwości opracowania dokumentacji danych przez naszego specjalistę.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x