W świetle przepisów o ochronie danych osobowych procesorem jest podmiot zajmujący się przetwarzaniem danych osobowych, które powierzył mu administrator. Procesorem może być osoba fizyczna, prawna, organ publiczny, jednostka lub inny podmiot. Procesor nie przetwarza danych dla zrealizowania własnych celów, tylko zrealizowania zadań zleconych mu przez administratora. Proces powierzenia danych jest zjawiskiem powszechnym, administratorzy powierzają dane zlecając określone zadania w ramach outsourcingu. Świadczenie usług związanych z prowadzeniem obsługi finansowo-księgowej czy kadrowej, usługa hostingu, wsparcie techniczne dla systemów informatycznych to klasyczne przykłady powierzenia przez administratora przetwarzania danych zewnętrznemu podmiotowi pełniącemu rolę procesora.
W Jednostkach Samorządu Terytorialnego, Urzędach Gmin, Miast jest zazwyczaj od kilu do kilkunastu procesorów wykonujących zadania zlecone przez samorząd.
Czy są zatem sytuacje gdzie to jednostka samorządu terytorialnego będzie procesorem? Co do zasady Urząd nie świadczy usług komercyjnie, a jedynie realizuje zadania własne oraz zlecone z zakresu administracji rządowej przewidziane w przepisach prawa.
Tak, sytuacja gdzie jednostka samorządu terytorialnego – Gmina, będzie pełnić rolę procesora dla innego administratora występuje, w szczególności w związku z realizacją projektów finansowanych
ze źródeł zewnętrznych oraz w ramach ubezpieczeń grupowych dla pracowników jednostki.
Dane osobowe w ramach Funduszy Europejskich przetwarzane są przez różne instytucje i podmioty w tym Urzędy Gmin. Część instytucji zaangażowanych w realizację programów operacyjnych pełni równocześnie rolę podmiotów przetwarzających – przetwarzają dane osobowe w imieniu innych instytucji będących administratorami danych osobowych. Minister właściwy do spraw rozwoju regionalnego, w zakresie, w jakim pełni rolę Instytucji Zarządzającej oraz Instytucji Koordynującej, jest administratorem danych osobowych przetwarzanych m.in. w ramach programu: Program Infrastruktura i Środowisko, Program Wiedza Edukacja Rozwój, Program Polska Cyfrowa, Regionalne Programy Operacyjne (RPO). Minister jest administratorem danych zgromadzonych w zarządzanych przez niego systemach teleinformatycznych. Należy do nich Centralny System Teleinformatyczny wspierający realizację programów operacyjnych oraz System Obsługi Wniosków Aplikacyjnych – dla Programu Wiedza Edukacja Rozwój. Gminy realizujące projekty w ramach wymienionych programów pełnią rolę procesora dla zbiorów powierzonych przez Ministra. Regulacje w zakresie powierzenia danych stanowią element umowy o dofinansowanie. Gmina realizująca projekt, pełniąc funkcję procesora dla powierzonych zbiorów w ramach projektu jest zobowiązana wypełnić obowiązki z tym związane, zarówno te wynikające wprost z Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), czyli prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora, przeprowadzić ocenę ryzyka, oraz zadania wynikające z zapisów umowy o dofinansowanie w zakresie powierzonych zbiorów np. – wydanie upoważnień w imieniu administratora personelowi projektu, wsparcie administratora w realizacji obowiązku informacyjnego wobec osób, których dane osobowe dotyczą. Zakres zadań nałożonych przez administratora może być zróżnicowany w zależności od typu projektu oraz programu w ramach którego jest realizowany. Wnikliwej analizy wymagają zapisy o powierzeniu zawarte w umowie o dofinansowanie. Należy również pamiętać, że wymagania te mogą zostać objęte kontrolą projektową realizowaną przez instytucję zarządzającą dla programu.
Przykładem projektów realizowanych w ostatnim czasie przez Gminy, gdzie występowały w roli procesora są:
- Granty Zdalna Szkoła oraz Zdalna Szkoła + w ramach programu Polska Cyfrowa;
- Granty PPGR – Wsparcie dzieci i wnuków byłych pracowników PGR w rozwoju cyfrowym w ramach programu Polska Cyfrowa;
Inny przykładem, gdzie Urząd może pełnić rolę procesora w ramach operacji przetwarzania danych są ubezpieczenia grupowe dla pracowników jednostki. Obsługa umowy ubezpieczenia może obejmować operacje przetwarzania danych, realizowane przez Urząd w imieniu zakładu ubezpieczeń jako administratora np. weryfikacja poprawności danych osobowych osób ubezpieczonych, przyjmowanie deklaracji przystąpienia do ubezpieczenia, przyjmowanie zgłoszeń o zdarzeniach objętych ochroną ubezpieczeniową, przechowywanie dokumentacji papierowej administratora.
Wskazane operacje są tylko przykładem kategorii przetwarzania dokonywanych przez jednostkę samorządu terytorialnego. Operacji takich może być więcej. Istotna jest tutaj rola Inspektora ochrony danych (IOD) wyznaczonego w jednostce, aby sytuacje takie identyfikować. Administratorzy muszą przy tym pamiętać, że aby Inspektor mógł skutecznie działać niezbędne jest właściwe włączanie go we wszelkie sprawy dotyczące przetwarzania danych w tym zapewnić dostęp do operacji przetwarzania.
Autor: Piotr Kropidłowski, Starszy Kierownik Projektu