Który podmiot należy uznać za administratora danych przetwarzanych poza systemem EKSMON?

Czy powiatowy zespół ds. orzekania o niepełnosprawności jest administratorem danych osobowych przetwarzanych poza systemem EKSMON? Z przepisów prawa wynika, że powiatowe zespoły są administratorami danych przetwarzanych w prowadzonych przez siebie bazach danych Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności (EKSMON). Czy powiatowy zespół jest także administratorem danych przetwarzanych poza tym systemem, czy jest nim może starosta? Czy można tutaj mówić o współadministrowaniu? Przepisy dotyczące funkcjonowania powiatowych zespołów ds. orzekania o niepełnosprawności wskazują, że to zespół wykonuje określone tam zadania i obowiązki. Starosta jest tylko właściwy w materii ich powołania/odwołania. Jak zatem powinna wyglądać kwestia dokumentacji dotyczącej ochrony danych w powiatowym zespole? Czy z uwagi na zapewnienie mu przez starostę wszelkich środków techniczno-organizacyjnych może stosować się do zasad określonych przez starostę, jeśli faktycznie byłby odrębnym od starosty administratorem?

Zgodnie z definicją określoną w art. 4 pkt 7 RODO, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Jeśli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni wówczas współadministratorami (art. 26 ust. 1 RODO). W takim przypadku współadministratorzy w drodze wspólnych uzgodnień określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.

W przypadku podmiotów realizujących zadania określone w przepisach prawa, cele, a często i sposoby przetwarzania, określone są w tych przepisach prawa. Podmioty te są zobowiązane do przetwarzania danych osobowych dla realizacji określonych prawem celów (zadań), zazwyczaj także przy użyciu wskazanych środków. Zatem o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter wyznaczonych im ustawowo zadań. Do uznania danego podmiotu za administratora potrzebna jest zatem zawsze analiza konkretnych przepisów regulujących działalność danego podmiotu.

Zadania oraz zasady funkcjonowania powiatowego zespołu do spraw orzekania o niepełnosprawności (dalej jako „powiatowy zespół”) określone zostały w szczególności w ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych oraz w rozporządzeniu Ministra Gospodarki, Pracy i Polityki Społecznej sprawie orzekania o niepełnosprawności i stopniu niepełnosprawności.

Do zadań zespołu, zgodnie z powołanymi wyżej przepisami, należy przede wszystkim merytoryczne rozpatrywanie wniosków w celu wydania orzeczenia o niepełnosprawności, stopniu niepełnosprawności lub wskazaniach do ulg i uprawnień osób posiadających orzeczenia o inwalidztwie lub niezdolności do pracy (§ 2 ww. rozporządzenia). Zgodnie z art. 6 ust. 5 powyższej ustawy zespoły orzekające o niepełnosprawności przetwarzają dane osobowe, w tym dane o stanie zdrowia, wyłącznie dla celów realizacji zadań oraz w zakresie niezbędnym do ich wykonania. Ponadto zgodnie z art. 6 ust. 6 tej ustawy, zabezpieczenia przetwarzania danych osobowych przez zespoły orzekające o niepełnosprawności polegają co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora oraz pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich poufności.

Powyższe przepisy prawa przesądzają o statusie powiatowego zespołu jako administratora w rozumieniu art. 4 pkt 7 RODO, niezależnie od tego, czy jest umiejscowiony w strukturze powiatu, czy nie. Za przyjęciem takiego stanowiska wskazuje również treść art. 6d ust. 2 ww. ustawy, zgodnie z którym powiatowe zespoły są administratorami danych w prowadzonych przez siebie bazach danych Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności, w którym przetwarza się dane w celu usprawnienia i podniesienia jakości orzekania o niepełnosprawności oraz realizacji zadań przez zespoły orzekające o niepełnosprawności.

 Analiza przepisów ww. ustawy o rehabilitacji oraz rozporządzenia wskazuje także na zadania starosty związane z funkcjonowaniem powiatowych zespołów, w szczególności starosta w ramach zadań z zakresu administracji rządowej powołuje powiatowy zespół, po uzyskaniu zgody wojewody oraz przedkłada wojewodzie informacje o realizacji zadań (art. 6a ust. 1 ustawy), a także powołuje i odwołuje przewodniczącego oraz członków powiatowego zespołu (§ 18 ust. 2 i 3 ww. rozporządzenia).

Powołane wyżej regulacje nie precyzują jednak kwestii organizacyjnych, w szczególności w jaki sposób mają działać powiatowe zespoły (czy jako odrębne podmioty, czy w strukturach starostwa), a także w jaki sposób ma być realizowana obsługa administracyjna, finansowa czy kadrowa powiatowych zespołów. Jedynie w § 18 ust. 5 ww. rozporządzenia wskazano, że przewodniczący powiatowego zespołu reprezentuje zespół na zewnątrz i organizuje jego obsługę administracyjno-biurową.

Powiatowy zespół, nawet jeśli umiejscowiony jest w strukturach starostwa, jest administratorem przetwarzanych przez siebie danych. Jednakże w takiej sytuacji również starosta przetwarza dane osobowe wnioskodawców powiatowego zespołu np. w związku z obsługą składanej przez nich korespondencji adresowanej do powiatowego zespołu albo też w związku z archiwizacją akt postępowań i w tym zakresie jest ich administratorem. Ponadto zgodnie z art. 34 oraz art. 35 ust. 2 i 3 ustawy o samorządzie powiatowym, starosta jest kierownikiem starostwa powiatowego i organizuje jego pracę, a także zwierzchnikiem służbowym pracowników starostwa i kierowników jednostek organizacyjnych powiatu.  

Wobec powyższego w sytuacji, gdy starosta zapewnia obsługę działalności powiatowego zespołu, podmioty te będą wspólnie ustalać cele i sposoby przetwarzania danych osobowych, w ramach tych zadań. Pomiędzy tymi administratorami można zatem przyjąć relację współadministrowania uregulowaną w art. 26 RODO. Wówczas powiatowy zespół oraz starosta jako współadministratorzy powinni w drodze wspólnych uzgodnień w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. W myśl natomiast art. 26 ust. 2 RODO, uzgodnienia, o których mowa w ust. 1, muszą należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść takich uzgodnień jest udostępniana podmiotom, których dane dotyczą.

Jakie wspólne uzgodnienia muszą uwzględniać faktyczne obowiązki powiatowego zespołu i starosty, związane z przetwarzaniem danych osobowych osób występujących do powiatowego zespołu, a wynikające m.in. z przepisów ustawy o rehabilitacji oraz wewnętrznych regulacji. Zarówno powiatowy zespół, jak i starosta mają swoje autonomiczne uprawnienia, z którymi związane jest przetwarzanie danych ww. osób w innych celach. Przykładowo, jedynie powiatowy zespół uprawniony jest do przetwarzania danych osobowych w celu orzekania o niepełnosprawności. Starosta, w ramach współadministrowania, może być uprawniony np. do zapewnienia ochrony pomieszczeń czy przetwarzania tych danych w celach archiwizacyjnych. Należy wskazać, że co do zasady odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych w zakresie realizacji takich autonomicznych uprawnień kształtują przepisy prawa. Powiatowy zespół i starosta, w ramach wspólnych uzgodnień, powinni więc określić inne kwestie, nieuregulowane wprost w przepisach prawa, w tym m.in. kwestię odpowiedniego zabezpieczenia danych osobowych wnioskodawców czy też realizacji określonych obowiązków informacyjnych.

Warto nadmienić, że analogiczne podejście zostało zaprezentowane przez Prezesa UODO wobec relacji pomiędzy wojewodą a wojewódzką komisją do spraw orzekania o zdarzeniach medycznych -Newsletter UODO dla Inspektorów Ochrony Danych - Wydanie 2 (maj 2019)

Odnosząc się natomiast do pytania o dokumentację dotyczącą ochrony danych wskazać należy, że istnienie w strukturach starostwa podmiotu, który jest odrębnym administratorem, nie musi oznaczać konieczności stworzenia procedur i polityk ochrony danych dotyczących przetwarzania w tym obszarze w odrębnym dokumencie. Jedna dokumentacja może bowiem regulować kwestie ochrony danych dotyczące administratorów istniejących w ramach tej samej jednostki. Przy czym kwestię tę, w kontekście prowadzonego przetwarzania należy starannie przemyśleć, a więcej informacji na ten temat znaleźć można w odpowiedzi na pytanie „Czy komendant straży miejskiej musi posiadać odrębną politykę ochrony danych?”.

2020-05-18