Wraz z rozpoczęciem stosowania RODO odżył problem określenia, kto jest administratorem w przypadku przetwarzania danych osobowych w sektorze publicznym, a zwłaszcza w samorządowym.
- Jednoznaczne wskazanie administratora danych bywało kłopotliwe już w poprzednim stanie prawnym, ale nie dostrzegano go tak dojmująco jak obecnie, gdy zdajemy sobie sprawę, że w ślad za uznaniem danego podmiotu za administratora idzie wiele obowiązków i znacznie szersza niż uprzednio odpowiedzialność – podkreśla dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p., zajmująca się problematyką ochrony danych osobowych.
Gmina, wójt czy jednostka pomocnicza
Zgodnie z RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Tymczasem – jak wskazuje dr Marlena Sakowska-Baryła - w sektorze publicznym współistnieje szereg organów, podmiotów, jednostek organizacyjnych, realizujących różnego rodzaju zadania publiczne, w pewnym stopniu decydujących o celach i sposobach przetwarzania. Wielokrotnie, ze względu na złożoność występujących pomiędzy nimi relacji, trudno ustalić, na ile samodzielnie podejmują te decyzje, i na ile faktycznie mogą zająć się czynnościami z zakresu „administrowania” danymi osobowymi.
- Gdybyśmy sięgali po przykłady, na pierwszy plan wysuwa się wątpliwość, jak wygląda struktura administratorów w samorządzie gminnym – podkreśla prawniczka. Zwraca uwagę na problem, czy administratorem jest „gmina” jako jednostka samorządu terytorialnego – osoba prawna działająca przez swoje organy (wójta i radę gminy), czy administratorami są właśnie jej organy – wójt i rada gminy. Pytanie, czy może administratorem jest wyłącznie wójt ze względu na swoje kompetencje i faktyczne możliwości organizacji systemu ochrony danych osobowych w urzędzie dla siebie i dla rady, a może administratorem jest urząd gminy jako jednostka organizacyjna.
- Wskazać należy, że urząd jest pracodawcą w rozumieniu przepisów Kodeksu pracy i ustawy o pracownikach samorządowych, więc w tym ujęciu także może występować jako administrator względem danych pracowniczych – zauważa dr Marlena Sakowska-Baryła. To jednak nie koniec wątpliwości, bo jak wyjaśnia, w gminie możemy mieć jednostki pomocnicze. – Na przykład osiedla, jak w mojej rodzimej Łodzi, i tu kolejna kwestia – czy administratorem jest taka jednostka w oderwaniu od miasta, prezydenta miasta oraz urzędu, który z reguły dostarcza takiemu osiedlu nazwijmy to zaplecza logistycznego. A może w tym przypadku administratorami osobno pozostają rada osiedla i zarząd osiedla? – pyta.
Czy sołtys jest administratorem
Ekspertka zaznacza, że w ostatnim czasie w prasie pojawiła się także kwestia odpowiedniego zakwalifikowania sołtysa – jako administratora albo podmiot nieposiadający takiego przymiotu. Jak wylicza, są też takie ciała, jak rady seniorów, młodzieżowe rady miejskie, związki międzygminne, a wreszcie i gminne jednostki organizacyjne, takie jak miejskie ośrodki pomocy społecznej, zarządy dróg, inwestycji, zieleni, lokali, jednostki dedykowane świadczeniom rodzinnym, urbanistyce, geodezji, usługom komunalnym, centra usług wspólnych, itp. - W odniesieniu do każdego z tych podmiotów trzeba rozstrzygnąć, jaki jest ich status podmiotowy na gruncie RODO. Nie jest to ani łatwe, ani jednoznaczne – tłumaczy dr Marlena Sakowska-Baryła.
Prawniczka przypomina, że zgodnie z RODO jest możliwość wyznaczenia administratora wprost w przepisach prawa albo określenie kryteriów tego wyznaczenia. Jak dodaje, póki co w Polsce prawo dotyczące administratorów jest niedoprecyzowane, konieczna jest interpretacja przepisów, bo samorządy mogą mieć problem w obsłudze dziedziny danych osobowych.
- Często samorządy nie wiedzą, kto jest administratorem, a niedoprecyzowanie powoduje problemy m.in. związane z kosztami opłacenia inspektora ochrony danych – podkreśla dr Marlena Sakowska-Baryła. Jak tłumaczy, obecnie nie jest to zapisane w ustawie, ale w praktyce może okazać się, że w odniesieniu do konkretnego zasobu informacyjnego są trzy jednostki decyzyjne w stosunku do tego samego sprzętu, tych samych ludzi i tej samej logistyki. - Może też być tak, że jednostki decyzyjnej nie będzie wcale, bo status danego podmiotu w przepisach opisany jest tak, że nie sposób przypisać mu samodzielności w dziedzinie decydowania o celach i sposobach przetwarzania danych osobowych, w tym o ich faktycznym zabezpieczeniu. Świetnym przykładem pozostają tu właśnie wspomniane jednostki pomocnicze – dodała ekspertka.
Nagle może być pięciu administratorów
Dr Marlena Sakowska-Baryła zaznaczyła, że jeśli przyjmujemy, że w gminie osobnym administratorem jest rada gminy, a osobnym wójt (burmistrz, prezydent miasta), a taka możliwość wynika wprost z art. 4 pkt 7 RODO, to każdy z tych administratorów osobno powinien wypełniać obowiązki wynikające z rozporządzenia, czyli zabezpieczać dane, polecać ich przetwarzanie, analizować ryzyko. - A to może być kłopotliwe i znacznie utrudnione, zwłaszcza w przypadku rady będącej organem kolegialnym i zwykle silnie spolityzowanym – podkreśliła dr Marlena Sakowska-Baryła.
Ekspertka wyjaśniła na przykładzie starostwa, że administratorzy „w sposób nieoczekiwany mogą się mnożyć” w odniesieniu do tych samych zasobów i zaplecza logistycznego. Możemy tu wyróżnić: zarząd jako administratora, osobno starostę, który w niektórych sprawach samodzielnie pozostaje organem właściwym w niektórych sprawach w oderwaniu od zarządu, radę powiatu, powiat jako całość – jako osoba prawna i starostwo jako pracodawcę. – W ten sposób nieoczekiwanie mamy pięciu administratorów, co właściwie jest zgodne z RODO, ale i nieco absurdalne – podkreśliła mecenas.
Jak tłumaczy, obecnie kiedy np. administratorem jest gmina, powoduje to próbę administrowania przez gminę w gminnych jednostkach organizacyjnych, np. w zarządzie dróg, czy MOPS. – Jest to nieuzasadnione, bo administrowanie polega na kierowniczej roli w procesie przetwarzanie danych, w tym na wydawaniu poleceń stosunku do personelu, a przecież trudno kierować kimś, kto nam nie podlega i kogo działania nie możemy rozliczyć w rozumieniu rodo i w rozumieniu prawa pracy – zaznaczyła dr Marlena Sakowska-Baryła. Jak dodaje, przekłada się to na konkretne rozwiązania i koszty.
Pojawił się bałagan interpretacyjny
Status administratora nie jest nową konstrukcją, ale o po rozpoczęciu stosowania RODO pojawił się bałagan interpretacyjny. - Przez lata wydaje się, że określenie kto w sektorze publicznym jest administratorem wynikało z praktyki GIODO i orzecznictwa, ale stanowiska w tym zakresie nie były jednolite – zaznaczyła ekspertka.
Jej zdaniem obecnie wraz z RODO odżywają „stare niezałatwione sprawy”, które nabierają znaczenia, bo dotąd zasady odpowiedzialności nie były „tak dotkliwe”, a na gruncie obecnych przepisów zaczyna mieć to istotne znaczenie. – Chodzi o koszty, kto będzie płacił, kogo pozwać, kto ma wyznaczyć inspektora ochrony danych, ilu ma być tych inspektorów i jak ich wynagradzać, kto ma przeprowadzić analizę ryzyka, kto sporządzić dokumentację, kto ma zgłaszać naruszenia organowi nadzorczemu itp. – wymienia prawniczka. Pojawiają się też problemy ze stosunkiem powierzenia przetworzenia danych czy współadministrowania.
- Samorządowi „opłaca się” np. połączenie wielu swoich baz danych w jednym systemie informatycznym w zbiory, ale w przypadku istnienia wielu administratorów, zgodnie z motywami RODO zbiorów łączyć się nie powinno. Jeśli zaś administratorem jest cała jednostka organizacyjna, np. miasto na prawach powiatu, droga do połączenia zbiorów jest otwarta – podkreśliła dr Marlena Sakowska-Baryła. Jej zdaniem powinny powstać szczegółowe przepisy. - Warto, by w tej sprawie zabrał też głos organ nadzorczy, ma on możliwość działalności edukacyjnej, co w tym przypadku byłoby nieocenione – podkreśliła.