Jednym z podstawowych środków organizacyjnych stosowanych przez administratora w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych, jest wydanie upoważnień osobom, które w jego imieniu mają dane przetwarzać. Administrator zobowiązuje jednocześnie te osoby do zachowania poufności informacji, również po wygaśnięciu upoważnienia. Zgodnie z art. 29 RODO, podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych, przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Administratorzy zazwyczaj nadają imienne, pisemne upoważnienia, choć przepis nie wymaga tego wprost. Udzielenie pisemnego upoważnienia jest najprostszym i skutecznym sposobem wykazania, że osoba działa w jego imieniu (zasada rozliczalności w procesie przetwarzania danych). Częstą praktyką jest również określanie w pisemnym upoważnieniu konkretnych zbiorów, do których osoba posiada dostęp. Rozwiązanie to bardzo często spotyka się w jednostkach samorządu terytorialnego, każdy
z pracowników posiada wykaz procesów przetwarzania danych osobowych, stanowiący element upoważnienia. Praktyka ta, choć nie jest błędem to wiąże się ze skomplikowanym procesem zarządzania upoważnieniami. Zwłaszcza w mniejszych jednostkach, gdzie są łączone stanowiska, urzędnicy prowadzą szeroki zakres spraw, do tego dochodzą kwestie zastępstw i indywidualnych poleceń przełożonego. W takich sytuacjach bardzo ciężko zapanować nad aktualnością zakresu upoważnienia. Bardzo często okazuje się, że wydane w chwili zatrudnienia upoważnienie nie jest aktualizowane. Osoba ma przyporządkowane procesy przetwarzania, którymi się nie zajmuje. Jednocześnie posiada dostępy do zbiorów w upoważnieniu nie wykazanych.
Jak tego uniknąć? W przypadku kontroli lub audytu będziemy rozliczani ze stosowania przyjętych procedur. Można nadać upoważnienia odnoszące się do zakresu obowiązków pracownika oraz otrzymanych poleceń służbowych. Bez wskazywania na sztywno konkretnych zbiorów. Aktualny zakres obowiązków pracownika określa zakres danych osobowych jakie przetwarza w imieniu administratora. W przypadku zmian stanowiska, a co za tym idzie zmiany zakresu obowiązków, upoważnienie wydane pracownikowi nie ulega dezaktualizacji.
Jeżeli przyjęliśmy formę upoważnienia, mamy określony wzór w procedurach ochrony danych. Pozostaje określić komu je nadać. Patrząc z punktu widzenia JST, kogo powinien upoważnić do przetwarzania danych Wójt, Burmistrz, Prezydent Miasta. Teoretycznie upoważnienie nadaje się, każdej osobie, która będzie przetwarzać dane w Urzędzie w dowolnej formie.
W przypadku samorządu nie jest to jednak takie proste. Są osoby czy funkcje, które posiadają dostęp do zbiorów danych osobowych Gminy, przy czym wynika to z uprawnienia nadanego na mocy przepisu prawa, a nie decyzji Wójta, Burmistrza czy Prezydenta. W takiej sytuacji nie jest konieczne, by wydać tej osobie upoważnienie.
Kierownik jednostki powinien nadać upoważnienie pracownikom, osobom zatrudnionym na podstawie umów cywilnoprawnych, stażystom, praktykantom, wolontariuszom (jeżeli mają dostęp do danych). Nie ulega wątpliwości, że w tej sytuacji nadanie upoważnienia jest rolą kierownika jednostki Wójta, Burmistrza czy Prezydenta Miasta.
Upoważnienie wynikające z przepisu prawa
W innych przypadkach podpowiedź znajduje się w przepisach szczegółowych jak Ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych. Każdy Urząd tworzy zgodnie z prawem zakładowy fundusz świadczeń socjalnych. Zasady korzystania ze świadczeń określa regulaminem. Dostęp do danych osobowych osób wnioskujących o świadczenia posiada powołana komisja socjalna lub pracownicy wyznaczeni do reprezentowania interesów załogi w sprawach ZFŚS. Zgodnie z art. 8 ust. 1b w/w ustawy, do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 (dane szczególnej kategorii) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. [….], mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy. W ustawie wskazano wprost wymóg nadania pisemnego upoważnienia. W związku z czym komisja socjalna lub wyznaczony przedstawiciel załogi powinni otrzymać pisemne upoważnienie o którym mowa w ustawie. Tutaj często pojawia się pytanie czy skoro komisję tworzą pracownicy czy potrzebne jest dodatkowe upoważnienie skoro otrzymali już standardowe upoważnienie zgodne z zakresem obowiązków? Tak jest wymagane. Funkcja członka komisji socjalnej czy przedstawiciela załogi ds. ZFŚS nie wynika z zakresu obowiązków, w dodatku upoważnienie to powinno odnosić się wprost do danych o stanie zdrowia osób korzystających ze świadczeń.
Inny ustawowym przypadkiem, gdzie Wójt, Burmistrz, Prezydent powinni nadać upoważnienie są członkowie powoływanej przez nich, gminnej komisji rozwiązywania problemów alkoholowych. Zgodnie z art. 25b. Wójt (burmistrz, prezydent miasta) jest administratorem danych,
o których mowa w art. 25a ust. 1 i 2, przetwarzanych przez powołaną przez niego gminną komisję rozwiązywania problemów alkoholowych. Art. 25a ust. 4 określa, że: przed przystąpieniem do wykonywania czynności związanych z procedurą zobowiązania do poddania się leczeniu odwykowemu członkowie gminnej komisji rozwiązywania problemów alkoholowych składają, w formie pisemnej, wójtowi (burmistrzowi, prezydentowi miasta), oświadczenie o zachowaniu poufności danych, do których uzyskają dostęp. Z wyżej wymienionych przepisów wynika jasno, że członkowie komisji uzyskują dostęp do danych na podstawie upoważnienia Wójta/Burmistrza/Prezydenta. W tej sytuacji można wydać odrębne upoważnienie lub stosowne zapisy zawrzeć w zarządzeniu o powołaniu komisji.
Upoważnienie Sołtysa
Sołtys, działając jako inkasent, przetwarza dane osobowe osób zobowiązanych do uiszczania opłat
i podatków, zawarte w nakazach płatniczych, czy też otrzymanym wykazie mieszkańców miejscowości, kwitariuszu oraz prowadzonej przez siebie ewidencji. Sołtys jest organem wykonawczym sołectwa, które jest jednostką pomocniczą gminy tworzoną przez radę gminy w drodze uchwały. Zgodnie z art. 35 ustawy o samorządzie gminnym, rada gminy w odrębnym statucie określa organizację i zakres działania jednostki pomocniczej. Zgodnie z art. 6 ust. 12 i art. 19 ust. 2 ustawy o podatkach i opłatach lokalnych, rada gminy może zarządzić pobór opłat i podatków lokalnych w drodze inkasa. W takiej uchwale, rada gminy może również określić inkasentów i wysokość wynagrodzenia za inkaso, a także może wprowadzić obowiązek prowadzenia przez inkasentów ewidencji osób, zobowiązanych do uiszczania opłaty miejscowej oraz określić szczegółowy zakres danych zawartych w tej ewidencji.
Czy w związku z tym Wójt/Burmistrz/Prezydent powinien upoważnić Sołtysa do przetwarzania danych osobowych w związku z pełnieniem funkcji inkasenta?
W opinii Urzędu Ochrony Danych Osobowych jest to poprawne rozwiązanie. Jak wskazano w opinii opublikowanej na stronie UODO (https://uodo.gov.pl/pl/p/zadania-iod) „[…] środki organizacyjne, którymi mogą być również upoważnienia, powinny dotyczyć nie tylko osób na stałe zatrudnionych
u administratora danych, ale także osób, którym administrator zlecił określone prace i które z tego powodu mają mieć dostęp do danych osobowych. Sołtys, jako osoba stojąca na czele sołectwa, będącego jednostką pomocniczą, nie jest co do zasady pracownikiem samorządowym. Przepisy prawa nie przewidują też zakazu zatrudniania sołtysa przez jego macierzystą gminę (tj. urząd gminny) na innym stanowisku na podstawie umowy o pracę lub na podstawie innych umów cywilno-prawnych. Wobec powyższego można przyjąć, że w przypadku zlecenia sołtysowi zadań inkasenta lub doręczyciela właściwe będzie uznanie, iż wykonuje on te zadania w ramach quasi zatrudnienia, a co za tym idzie udzielenie mu upoważnienia do przetwarzania danych (o ile administrator przyjął je jako środek organizacyjny służący zapewnieniu kontroli nad dostępem do danych osobowych).”
Upoważnienie podczas naborów
W ramach organizowania naborów na wolne stanowiska urzędnicze o których mowa w Rozdziale 2 Ustawy z dnia 21 listopada 2008 r. o pracownikach samorządowych, Wójt, Burmistrz, Prezydent powołuje komisję ds. przeprowadzenia naboru. Zadaniem komisji jest ocena formalna przesłanych aplikacji względem spełnienia przez kandydatów wymogów udziału w postępowaniu rekrutacyjny oraz wyłonienie najlepszych kandydatów celem przedstawienia kierownikowi jednostki do zatrudnienia. Komisja prowadzi rozmowy kwalifikacyjne, dodatkowe testy wiedzy oraz kontaktuje się z kandydatami na poszczególnych etapach procesu rekrutacji. Całość procedur wiąże się oczywiście z przetwarzaniem danych kandydata w tym również informacji szczególnej kategorii jak stan zdrowia czy stopień niepełnosprawności. Zgodnie z art. 22(1b) paragraf 3 Ustawy z dnia 26 czerwca 1974 r. Kodeksu pracy do przetwarzania danych osobowych szczególnej kategorii może zostać dopuszczona osoba posiadająca pisemne upoważnienie. Funkcja w komisji rekrutacyjnej podobnie jak w przypadku komisji socjalnych nie wynika z zakresu obowiązku. Może poza osobą, która zajmuje stanowisko ds. kadrowych w urzędzie i jednocześnie jest członkiem komisji konkursowej. W przypadku pozostałych osób będzie konieczne udzielenie upoważnienia. W tej sytuacji można wydać odrębne upoważnienie lub stosowne zapisy zawrzeć w zarządzeniu kierownika jednostki o powołaniu komisji. Należy również pamiętać
o obowiązku uzyskaniu zapewnienia przez członków komisji, co do poufności uzyskanych danych osobowych. Zobowiązanie takie powinno obowiązywać również po ustaniu pełnienia funkcji w komisji na nabór.
Szczególną sytuacją powołania komisji przez Wójta jako przedstawiciela Organu prowadzącego przedszkole, szkołę lub placówkę w związku z naborem jest konkurs na stanowisko Dyrektora Szkoły. Tryb zasady oraz skład komisji określa Ustawa z dnia 14 grudnia 2016 r. – Prawo oświatowe oraz wydane na podstawie art. 63 ust. 20, tejże ustawy Rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej. Przepisy te szczegółowo wskazują tryb powołania komisji, jej prac oraz kogo organ prowadzący jest zobowiązany powołać w skład komisji. Członkowie komisji konkursowej podobnie jak w przypadku naboru na stanowiska urzędnicze będą przetwarzać dane osobowe kandydatów. W związku z czym Wójt jako przedstawiciel organu prowadzącego – administrator danych osobowych kandydatów na stanowisko dyrektora, jest zobowiązany upoważnić te osoby do przetwarzania danych oraz zobowiązać je do zachowania poufności informacji uzyskanych na temat kandydatów. W tej sytuacji również można nadać odrębne upoważnienia i odebrać oświadczenia osób o zachowaniu poufności lub stosowne zapisy zawrzeć w zarządzeniu o powołaniu komisji.
Upoważnienie Radnych
A co z Radnymi? Czy członek Rady Gminy również jest upoważniany do przetwarzania danych przez Wójta. Rada Gmin podobnie jak Wójt jest Organem Gminy. Radni wybierani są w głosowaniu powszechnym (wybory) przez mieszkańców. Sprawowanie mandatu radnego nie jest wykonywaniem obowiązków na polecenie Wójta, a uprawnienie dostępu do informacji wynika wprost z ustawy. Art. 24 ust. 2 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym wskazuje iż, w wykonywaniu mandatu radnego radny ma prawo, jeżeli nie narusza to dóbr osobistych innych osób, do uzyskiwania informacji i materiałów, wstępu do pomieszczeń, w których znajdują się te informacje i materiały, oraz wglądu
w działalność urzędu gminy, a także spółek z udziałem gminy, spółek handlowych z udziałem gminnych osób prawnych, gminnych osób prawnych, oraz zakładów, przedsiębiorstw i innych gminnych jednostek organizacyjnych, z zachowaniem przepisów o tajemnicy prawnie chronionej. W związku
z powyższym nie zachodzi tutaj relacja administrator – osoba przetwarzająca dane na polecenie administratora. Wójt/Burmistrz/Prezydent nie nadaje upoważnień radnym. Nie mniej należy wziąć pod uwagę, że tam, gdzie mamy do czynienia z ochroną dóbr osobistych innych osób, tajemnicą prawnie chronioną czy tajemnicą przedsiębiorstwa, jak wskazuje ustawa są ograniczenia dla radnych. Radny powinien więc mieć świadomość, że jego prawo nie jest nieograniczone. Pomimo prawa wstępu czy wglądu do pewnych informacji przed ich udostępnieniem może być niezbędna analiza treści informacji objętych żądaniem pod kątem ustalenia, czy w ich skład wchodzą informacje prawnie chronione,
o których mowa w ustawie.
Powyższe wskazówki dotyczące nadawania upoważnień w jednostce samorządu terytorialnego nie stanowią katalogu zamkniętego. Kontrolę nad tym jakie dane osobowe oraz komu są udostępniane, kto wykonuje dla nas operacje przetwarzania danych, wymaga stałego nadzoru. Ważnym jest również, aby śledzić na bieżąco zmiany w przepisach. Ustanowienie odgórne w przepisach prawa Wójta/Burmistrza/Prezydenta administratorem dla określonych zbiorów danych osobowych może oznaczać konieczność wydania kolejnych upoważnień.
Autor: Piotr Kropidłowski CompNet Sp. z o.o.
© Copyright by CompNet Sp. z o. o.