RODO w samorządzie – 7 rozwiązań dla naszych Czytelników

Celem wstępu należy wskazać, że administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO). Administratorem danych jest zatem każdy podmiot, niezależnie od jego statusu prawnego, który decyduje o celach i sposobach przetwarzania danych osobowych. W przypadku podmiotów z sektora publicznego cele i środki przetwarzania przez te podmioty danych osobowych będą co do zasady wynikały z przepisów prawa, które określają zadania i kompetencje tych podmiotów. Te przepisy prawa będą także rozstrzygały czy dany podmiot (organ publiczny, jednostka samorządu, jednostka organizacyjna) posiada status administratora w stosunku do danych osobowych przetwarzanych w związku z realizacją powierzonych ustawowo zadań.

Wobec tego za administratora danych może być w ramach jednego urzędu miejskiego uznana gmina, urząd miejski lub burmistrz miasta. Kwestia, który z tych podmiotów będzie administratorem danych będzie zależała od przepisów prawa mających zastosowanie w konkretnej sytuacji. Przykładowo gmina jest uznawana za administratora danych osobowych przetwarzanych np. w ramach zamówień publicznych. Natomiast urząd gminy jest administratorem danych pracowników urzędu albowiem jest ich pracodawcą (wyrok Sądu Najwyższego z 21 grudnia 1992 r. I PRN 52/92).

Jak już wskazano, nie zawsze administratorem danych osobowych jest urząd gminy. Wprawdzie kompetencje w zakresie wydawania decyzji w indywidualnych sprawach z zakresu administracji publicznej przyznane zostały organom wykonawczym jednostki samorządu terytorialnego. Nie oznacza to jednak, że kompetencje te organy muszą wykonywać osobiście. Przepisy ustaw samorządowych i Kodeksu postępowania administracyjnego przewidują możliwość udzielania upoważnień określonym osobom i podmiotom do wydawania decyzji w imieniu organów wykonawczych. Na poziomie gminy upoważnienie może zostać udzielone zastępcom wójta (burmistrza, prezydenta miasta), pracownikom urzędu gminy, organom wykonawczym jednostek pomocniczych (np. sołtysowi), organom jednostek organizacyjnych gminy czy też organom podmiotów, którym gmina w drodze porozumienia zleciła wykonywanie zadań gminy. Podmioty te mogą udzielić dalszych upoważnień na podstawie art. 268a Kodeksu postępowania administracyjnego. Jeśli wójt (burmistrz, prezydent) udzielił upoważnienia np. swojemu zastępcy lub pracownikowi urzędu to upoważnione przez niego osoby działają w jego imieniu.

Jednakże jeśli upoważnienia udzielono organowi jednostki organizacyjnej gminy lub innemu wskazanemu w art. 39 ust. 4 ustawy o samorządzie gminnym to przyjmuje się, że podmioty te działają we własnym imieniu, a nie w imieniu wójta, a zatem wskutek upoważnienia uzyskują status organu. W orzecznictwie wskazuje się, że w takiej sytuacji kompetencja do załatwiania indywidualnych spraw z zakresu administracji publicznej przenosi się na inny organ, a kompetencję tę traci organ dotychczasowy. Upoważniony w trybie art. 39 ust. 4 ustawy o samorządzie gminnym organ jednostki organizacyjnej gminy może - działając na podstawie art. 268a Kodeksu postępowania administracyjnego - udzielić dalszych upoważnień do załatwiania spraw w swoim imieniu pracownikom jednostki organizacyjnej, którą kieruje.

W takiej sytuacji zbędne jest zawieranie umowy powierzenia przetwarzania danych pomiędzy organem jednostki organizacyjnej (lub jej pracownikami) a wójtem czy radą gminy.

Dane osobowe pracownika takie jak jego imię i nazwisko, służbowy adres e-mail lub numer telefonu stanowią dane służbowe, bowiem są ściśle związane z życiem zawodowym pracownika i z wykonywaniem przez niego obowiązków służbowych. Powszechnym jest pogląd, że pracodawca jest uprawniony do ich ujawniania nawet bez zgody pracownika. Przetwarzanie danych służbowych bez zgody pracownika było dopuszczalne na gruncie poprzednio obowiązującej ustawy o ochronie danych osobowych i jest nadal dopuszczalne na gruncie RODO. Administrator danych osobowych może się tu powołać - w zależności od okoliczności faktycznych – na podstawę określoną w:

• art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej) lub
• art. 6 ust. 1 lit. f RODO (prawnie usprawiedliwiony interes realizowany przez administratora danych lub przez stronę trzecią).

Ponadto dane służbowe pracowników starostwa - jeśli pracownicy ci pełnią funkcje publiczne – są jawne i podlegają udostępnieniu także w trybie dostępu do informacji publicznej.  Pracownicy urzędu posiadający wpływ na procesy decyzyjne w zakresie realizacji zadań o znaczeniu publicznym (tj. nie wykonujący tylko czynności administracyjnych i pomocniczych) uznawani są za osoby pełniące funkcje publiczne. Wobec tego ich dane służbowe są jawne (art. 5 ust. 2 ustawy o dostępie do informacji publicznej).

W przypadku powierzenia przetwarzania danych procesor wykonuje operacje na danych osobowych zgromadzonych przez administratora danych w imieniu i na rzecz administratora.  Podmiot przetwarzający nie realizuje własnych celów przetwarzania danych, a realizuje cele przetwarzania danych określone przez administratora danych. Może przetwarzać powierzone dane jedynie w zakresie wskazanym przez administratora danych.

Czynności związane z przetwarzaniem danych, jakie realizuje podmiot przetwarzający, nie są zatem związane z podejmowaniem decyzji co do celów i środków przetwarzania danych. Natomiast zgodnie z art. 26 RODO w przypadku współadministrowania danymi co najmniej dwóch administratorów danych wspólnie ustala cele i sposoby przetwarzania danych. Każdy ze współadministratorów realizuje zatem własne, ale wspólnie ustalone cele przetwarzania danych. Współadministratorzy w drodze wspólnych uzgodnień (np. w  drodze pisemnego porozumienia) zobowiązani są ustalić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.

Krajowe Biuro Wyborcze zapewnia obsługę Państwowej Komisji Wyborczej, komisarzy wyborczych, Korpusu Urzędników Wyborczych oraz innych organów wyborczych w zakresie określonym w kodeksie wyborczym oraz innych ustawach. Krajowe Biuro Wyborcze współdziała z właściwymi organami administracji rządowej oraz jednostkami samorządu terytorialnego w celu realizacji zadań związanych z organizacją i przeprowadzaniem wyborów oraz referendów. Okoliczność, że KBW współdziała z innymi organami nie oznacza, że te inne podmioty są współadministratorami danych osobowych. Wspólny cel rozumiany ogólnie jako przeprowadzenie wyborów jest także niewystarczający do uznania, że podmioty współpracujące są współadministratorami danych osobowych. W przypadku podmiotów publicznych o tym, czy dany podmiot jest uznawany za administratora (współadministratora) danych, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 17 listopada 2004 r. II SA/Wa 887/04).

Ustawa o samorządzie gminnym wskazuje, że rada gminy jest organem stanowiącym i kontrolnym. Rada gminy w ramach sprawowania funkcji kontrolnej w szczególności kontroluje działalność wójta, gminnych jednostek organizacyjnych oraz jednostek pomocniczych gminy oraz rozpatruje skargi na działania wójta i gminnych jednostek organizacyjnych oraz wnioski oraz petycje składane przez obywateli.

W ustawie o samorządzie gminnym nie wskazano, do jakich informacji i jakich danych może mieć dostęp rada gminy i jej członkowie w ramach wykonywania powierzonych ustawowo zadań. Należy jednak uznać, że możliwość dostępu rady i poszczególnych radnych (członków organu kolegialnego) do danych osobowych przedstawionych podczas prac w ramach komisji rewizyjnej wynika z kontrolnej i stanowiącej funkcji rady gminy. Przetwarzanie danych osobowych przez radnych należy uznać za dopuszczalne, jako że jest niezbędne dla wykonania przez radę gminy i radnych ustawowo nałożonych zadań.

Zasada jawności i dostępności do posiedzeń kolegialnych organów władzy publicznej przewidziana została w ustawie o samorządzie gminnym, ale także w ustawie o dostępie do informacji publicznej. Przebieg obrad rad gmin jest obowiązkowo utrwalany za pomocą urządzeń rejestrujących nie tylko dźwięk, ale i obraz, co wprost wynika z art. 20 ust. 1b ustawy o samorządzie gminnym. Co więcej gminy są zobowiązane do udostępniania nagrań sesji w Biuletynie Informacji Publicznej, na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty. Jeśli chodzi o przetwarzanie danych osobowych w postaci wizerunków osób uczestniczących w sesji to nie ma konieczności uzyskiwania ich zgody bowiem zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Wskazane wyżej przepisy prawa ustawy o samorządzie gminnym i ustawy o dostępie do informacji publicznych nakładają na gminę obowiązki, dla realizacji których niezbędne jest przetwarzanie danych osobowych uczestników sesji.

Jeśli chodzi o obowiązek informacyjny, to RODO nie precyzuje, w jakiej formie powinien on być spełniony. Może to być informacja pisemna, elektroniczna, a w niektórych przypadkach nawet ustna. Zgodnie z zasadą rozliczalności administrator danych powinien umieć wykazać, że wypełnił obowiązek informacyjny zgodnie z wymogami RODO. W związku z tym klauzula informacyjna może być zamieszczona np. w ogłoszeniu o sesji rady gminy czy w widocznym miejscu przed wejściem na salę obrad.   

Każdy administrator danych objęty jest obowiązkiem informacyjnym wynikającym z art. 13 i 14 RODO. Z przepisów tych wynika, że administrator danych zobowiązany jest przekazać osobie, której dane dotyczą, określony katalog informacji chyba, że zachodzi jeden z wyjątków określonych odpowiednio w art. 13 ust. 4 i art. 14 ust. 5 RODO. Administrator podaje osobie, której dane dotyczą, m. in. informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, a w szczególności informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.

Zakres praw przysługujących osobie, której dane dotyczą zależy od podstawy prawnej, na jakiej administrator przetwarza dane osobowe oraz od sposobu przetwarzania danych. I tak:

1. Jeśli przesłanką przetwarzania danych jest zgoda petenta, wówczas administrator zobowiązany jest poinformować osobę, której dane dotyczą o prawie do cofnięcia zgody w dowolnym momencie z zastrzeżeniem, że cofnięcie zgody pozostaje bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
2. Jeżeli przetwarzanie odbywa się w sposób zautomatyzowany, to dodatkowo należy poinformować o prawie do przenoszenia danych.
3. Jeżeli przetwarzanie danych oparte jest o przesłanki z art. 6 ust. 1 lit. e lub f RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem) lub gdy dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, do celów badań naukowych, historycznych lub do celów statystycznych, administrator danych powinien dodatkowo poinformować osobę, której dane dotyczą, o prawie do wniesienia sprzeciwu wobec przetwarzania dotyczących jej danych osobowych.

Klauzula informacyjna w zakresie informacji o prawach osób, których dane dotyczą, powinna być zatem dostosowana do okoliczności faktycznych konkretnego przypadku, zwłaszcza do podstaw przetwarzania danych osobowych.