Przez brak określenia w przepisach właściwego podmiotu, a co za tym idzie – odpowiedzialności, trudno mówić o właściwiej ochronie danych osobowych. A chodzi o samorządy, gdzie przetwarza się dużo danych osobowych, często są to dane szczególnych kategorii np. z zakresu pomocy społecznej czy prywatne – jak choćby te dotyczące kwestii podatkowych.

Wśród propozycji zmian przepisów w ramach prowadzonej przez redakcje Prawo.pl i LEX akcji "Poprawmy prawo" znalazło się zgłoszenie dotyczące braku regulacji określających, kto jest administratorem danych przetwarzanych w jednostkach samorządowych.

Ponad 20 lat dziury prawnej

Sylwia Czub-Kiełczewska, ekspert do spraw ochrony danych osobowych i bezpieczeństwa informacji, audytor wewnętrzny ISO27001, podkreśla, że problem określenia administratora w samorządach pozostaje nierozwiązany od lat. A ma to negatywny wpływ na możliwość skutecznego zapewnienia ochrony danych, w tym realizacji praw osób, których dane dotyczą, wymaganych przepisami RODO.

Prezes UODO nie przyjął do tej pory jednolitego stanowiska w tym zakresie, uznając na przestrzeni lat za administratora różnie - odpowiednio gminę, urząd gminy lub burmistrza (wójta, prezydenta). Było to szczególnie widoczne w prowadzonym dawniej rejestrze zbiorów danych osobowych, gdzie dla tego samego typu zbiorów, w tożsamych jednostkach, rejestrowano jako administratora zamiennie gminę, jej organy lub sam urząd.

- Niestety wychodzi na to, że nikt nic nie wie, więc w każdej gminie administrator jest ustalany indywidualnie i autorytarnie. Niezbędne jest zatem uregulowanie administratora danych osobowych w JST w odpowiednich przepisach prawa – uważa Sylwia Czub-Kiełczewska. Jak dodaje, problem ustalenia administratora trwa nieprzerwanie od samego początku obowiązywania w Polsce ustawy o ochronie danych osobowych, czyli od 1997 roku.

Ochrona danych osobowych w warunkach pracy zdalnej [PRZEDSPRZEDAŻ] ebook

Marlena Sakowska-Baryła

Sprawdź  

Administratorzy: straż miejska, komisja, urząd, gmina, wójt…

Zgodnie z RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Tymczasem – jak wskazuje dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p., w sektorze publicznym współistnieje wiele organów, podmiotów, jednostek organizacyjnych, realizujących różnego rodzaju zadania publiczne, w pewnym stopniu decydujących o celach i sposobach przetwarzania. - Urząd jest pracodawcą w rozumieniu przepisów Kodeksu pracy i ustawy o pracownikach samorządowych, więc w tym ujęciu także może występować jako administrator względem danych pracowniczych – zauważa.

Kolejnym problemem jest fakt, że w urzędzie gminy w jednym budynku może być od kilku nawet do kilkunastu administratorów. Mogą to być gminne komisje, straż miejska stacjonująca w budynku gminy, kierownik urzędu stanu cywilnego, kasy zapomogowo-pożyczkowe itp.

- Nagle okazuje się, że w urzędzie gminy, gdzie za bezpieczeństwo danych odpowiada gmina, a konkretnie - jej organy, które są administratorami danych „intuicyjnymi”, również każdy z kilkunastu innych administratorów odpowiada za bezpieczeństwo techniczne i organizacyjne przetwarzania danych, dla których jest administratorem – mówi Sylwia Czub-Kiełczewska. Jednocześnie większość tych administratorów nie ma większego wpływu na wprowadzone środki techniczne, bo te zapewnia organ, przy którym działa podmiot. - Są zatem ułomni w zakresie zapewniania środków ochrony adekwatnych do ryzyk i zagrożeń, gdyż muszą o nie prosić gminę, która arbitralnie decyduje, czy stać ją na ich zapewnienie, a jeśli nie - wdraża te rozwiązania, które jej zdaniem są adekwatne. Powstaje wówczas pytanie, kto w takim wypadku poniesie odpowiedzialność za naruszenie ochrony danych – dodaje.

W gminie możemy mieć jednostki pomocnicze, na przykład osiedla, i pojawia się kolejna kwestia – czy administratorem jest taka jednostka w oderwaniu od miasta, prezydenta miasta oraz urzędu? A może w tym przypadku administratorami osobno pozostają rada osiedla i zarząd osiedla? – dodaje dr Sakowska-Baryła.

Czytaj też: W samorządach jest więcej danych i większe ryzyko, gdy wyciekną

Brakuje świadomości

Często dane różnych administratorów  są przetwarzane w tych samych pomieszczeniach, są przechowywane w tych samych szafach i ci sami pracownicy urzędu gminy mogą jednocześnie działać na rzecz różnych administratorów danych. 

Tymczasem przepisy RODO kładą duży nacisk na to, żeby każda osoba mogła uzyskać kopię jej danych i dowiedzieć się o przetwarzaniu jej danych. Nagle może okazać się, że bardzo trudno będzie dane odnaleźć, zidentyfikować i zrealizować te prawa prawidłowo.

Kolejny problem wiążący się z tematem mnogości administratorów to ich nieświadomość. Niestety, często członkowie komisji i innych ciał działających w ramach samorządu nie do końca zdają sobie sprawę z tego, że są administratorami danych. – Nie znają więc swoich obowiązków wynikających z przepisów i nie są w stanie ich skutecznie zrealizować. Często nie posiadają  własnej dokumentacji ochrony danych, tylko działają na podstawie upoważnień wydanych przez organy gminy czy na podstawie polityk ochrony danych, które są w gminie – mówi Sylwia Czub-Kiełczewska.

Dodatkowy problem z IOD

Problem i chaos związany z administratorami w samorządzie potęguje jeszcze regulacja, zgodnie z którą istnieje obowiązek wyznaczenia inspektora ochrony danych (IOD). Z przepisów RODO wynika bowiem, że IOD-a ma wyznaczyć „organ lub podmiot publiczny” przetwarzający dane osobowe. Jak wyjaśnia dr Sakowska-Baryła, nasz ustawodawca w ustawie o ochronie danych wskazuje, że przez „organy lub podmioty publiczne” zobowiązane do wyznaczenia IOD rozumie się m.in. jednostki sektora finansów publicznych. - Tymczasem zgodnie z ustawą o finansach publicznych jednostki sektora finansów publicznych to nie są organy, ale jednostki – mówi.

Jednocześnie mamy więc organy władzy publicznej oraz jednostki budżetowe, jednostki samorządu terytorialnego oraz ich związki. - Oznacza to, że to odesłanie jest nieefektywne, bo zasadniczo jednostki sektora finansów publicznych w kontekście samorządów postrzegamy tu nie jako organy władzy publicznej ale jako jednostki w całości – podkreśla dr Marlena Sakowska-Baryła.

Jej zdaniem jeśli więc przyjmiemy, że administratorem jest każdy organ władzy publicznej oraz jednostki, które w jego ramach wyodrębniamy, to w jednym urzędzie powinniśmy wyznaczyć kilku IOD-ów. Tu pojawia się dodatkowo problem zabezpieczeń – może z tego wynikać, że w jednym urzędzie gminy powinno być kilka systemów bezpieczeństwa danych, a także procedur związanych z obsługą naruszeń ochrony danych osobowych oraz kilka osobnych rejestrów przetwarzania danych osobowych.

Zobacz też: Samorządy oszczędzają na ochronie danych osobowych i... ryzykują