Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

ikona tłumacz ikona flaga angielska ikona kontakt
Skargi
Inspektor Ochrony Danych
Wyznaczenie i status IOD
Zawiadomienia Prezesa UODO związane z IOD
Zadania IOD
Archiwum newslettera dla IOD
Administrator
Kodeksy i certyfikacja
Pozostałe formularze
Ikonka home dla okruszków  » Najważniejsze tematy  » Inspektor Ochrony Danych  » Zadania IOD

Czy w jedn. organizacyjnych samorządu terytorialnego funkcjonuje kilku odrębnych administratorów?

W związku problemami praktycznymi oraz interpretacyjnymi w przedmiocie statusu administratora w samorządzie terytorialnym zwracam się z prośbą o udzielenie odpowiedzi na następujące pytanie: czy w strukturach jednostek samorządu terytorialnego należy wyróżnić kilku odrębnych administratorów, np. urząd gminy (jako pracodawcę), wójta (organ wykonawczy), radę gminy (organ stanowiący). Jakie niesie to za sobą konsekwencje, np. czy oznacza to konieczność opracowania oddzielnych dokumentacji ochrony danych osobowych dla każdego z tych administratorów czy też powinna to być dokumentacja uwzględniająca współpracę pomiędzy administratorami? Czy należy powołać inspektora ochrony danych dla każdego z tych administratorów?

Zgodnie z definicją zawartą w 4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Określając status administratora w odniesieniu do konkretnego przetwarzania należy uwzględniać element zarówno podmiotowy (tzn. administratorem może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot), jak i to, że w przypadku podmiotów sektora publicznego (o ile podmiot będący administratorem nie jest wskazany wprost w konkretnym przepisie) najczęściej ma miejsce sytuacja, w której rola ta wynika z zakresu zadań publicznych, jakie przepisy mu przypisują i dla których realizacji niezbędne jest przetwarzanie danych.

Wskazuje na to również Grupa Robocza Art. 29 w opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (str. 11 opinii, https://archiwum.giodo.gov.pl/pl/1520057/3595). Jednocześnie w dokumencie tym podkreśla się, że konkretne stosowanie pojęcia administratora danych staje się obecnie coraz bardziej złożone, ze względu na zróżnicowanie form prawnych oraz organizacyjnych różnych podmiotów, które faktycznie decydują o celach i sposobach przetwarzania.

Taki sposób identyfikowania administratora podpowiada również Europejska Rada Ochrony Danych w Wytycznych EROD 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO (wersja podana do konsultacji publicznych, dostępna w języku angielskim m.in. https://uodo.gov.pl/pl/414/1714). Zgodnie z tymi Wytycznymi, istnieją przypadki, w których administrator lub kryteria jego wyznaczania są wprost określone w przepisie prawa, jednak bardziej powszechne są sytuacje, w których status ten wynika z tego, że ustawa nakłada na dany podmiot zadanie lub obowiązek gromadzenia i przetwarzania określonych danych. Wówczas administratorem jest zwykle organ wyznaczony na mocy prawa do realizacji tego zadania publicznego. W takim przypadku prawo, choć pośrednio, określa, kto jest administratorem. Innymi słowy prawo może nakładać na podmioty publiczne lub prywatne obowiązek przetwarzania określonych danych, a podmioty te uznawane są zazwyczaj uznawane za administratorów w odniesieniu do przetwarzania, które jest niezbędne do wykonania tego obowiązku (pkt 21-22 ww. Wytycznych).

Zgodnie z przyjętą w RODO definicją, pojęcie administratora ma bardzo szeroki zakres znaczeniowy, gdyż może nim być w zasadzie każdy podmiot, o ile ustala cele i sposoby przetwarzania danych osobowych. Wobec powyższego w zależności od danych osobowych, które są przetwarzane oraz podstawy prawnej przetwarzania i kompetencji poszczególnych podmiotów (organów) do przetwarzania, administratorem może być zarówno organ np. wójt lub burmistrz (prezydent), rada gminy, gminne jednostki organizacyjne (np. ośrodek pomocy społecznej lub szkoła), a także  - w odniesieniu do danych pracowników i kandydatów do pracy  - gminna jednostka organizacyjna jaką jest urząd gminy.

Rozstrzygając więc, który podmiot jest w danej sytuacji administratorem w odniesieniu do konkretnych danych osobowych, należy przede wszystkim dokonać analizy przepisów prawa określających zadania podmiotów lub organów publicznych, dla których realizacji niezbędne jest przetwarzanie danych osobowych. Ocena ta powinna być dokonywana w odniesieniu do konkretnego procesu przetwarzania.

Tytułem przykładu podać można, że art. 18 ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2020 r. poz. 713 z późn. zm.) stanowi, że do właściwości rady gminy należą wszystkie sprawy pozostające w zakresie działania gminy, o ile ustawy nie stanowią inaczej. Natomiast art. 18 ust. 2 tej ustawy wskazuje na katalog zadań przypisanych do wyłącznej właściwości rady gminy. A zatem, w tych przypadkach, w których przepisy prawa wskazują, że określone zadania należą do właściwości rady gminy i dla ich wykonania niezbędne jest przetwarzanie określonych danych, należy uznać radę gminy za administratora tych danych.

Takim sposobem identyfikowania administratora na podstawie norm, które określają zadania podmiotu będącego administratorem, Prezes UODO (wcześniej GIODO) posługiwał się w wielu dotychczasowych decyzjach, ale też we wskazówkach i poradnikach publikowanych na jego stronie internetowej (np. w decyzji w sprawie przetwarzania danych przez Burmistrza Aleksandrowa Kujawskiego https://uodo.gov.pl/decyzje/ZSPU.421.3.2019, w poradniku Ochrona danych osobowych w kampanii wyborczej – poradnik https://uodo.gov.pl/pl/138/497, poradniku Ochrona danych osobowych w szkołach i placówkach oświatowych https://uodo.gov.pl/pl/201/481).

Jako przykład posłużyć może również materiał „Realizacja autonomicznych uprawnień kontrolnych radnego” zamieszczonym Newsletterze dla Inspektorów Ochrony Danych (wrzesień 2020), str. 7 (https://uodo.gov.pl/p/archiwum-newslettera-dla-iod), gdzie UODO wskazał, że radny, realizując zadania na rzecz rady gminy, nie będzie administratorem. Jest wówczas bowiem częścią organu kolegialnego, jakim jest rada gminy. W takim przypadku to ona w związku z wykonywaniem swoich zadań ma status administratora. Natomiast z inną sytuacją mamy do czynienia wówczas, gdy radny wykonuje swoje autonomiczne uprawnienia kontrolne, o których mowa w art. 24 ust. 2 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym. Wówczas radny będzie odrębnym administratorem, gdyż to on będzie ustalał cele i sposoby przetwarzania danych osobowych pozyskanych w związku z tego typu swoją aktywnością.

Funkcjonowanie kilku administratorów w gminie uzasadnia fakt, iż jednostki organizacyjne  samorządu terytorialnego i ich organy realizują różne zadania, przypisane im na podstawie przepisów prawa. Przykładem takich złożonych sytuacji są np. wybory na ławników, gdzie do przetwarzania danych kandydatów na ławników i ławników zgodnie z przepisami prawa uprawnionych jest kilka podmiotów, a zatem wobec tych danych można wskazać kilku administratorów, m.in. radę gminy dokonującą wyboru oraz burmistrza jako organ zapewniający przeprowadzenie tych wyborów.

Podobne podejście Prezes UODO prezentuje również w odpowiedziach na pytania inspektorów zamieszczonych na stronie internetowej UODO w zakładce Inspektor Ochrony Danych/Zadania, a w szczególności:

- Kto jest administratorem danych osobowych przetwarzanych w urzędzie wojewódzkim?

- Czy rzecznik praw konsumentów jest administratorem danych osobowych?

- Kto jest administratorem danych przetwarzanych w celu wydania karty seniora?

- Czy pracownik działu kadr urzędu gminy może przetwarzać dane kierowników jednostek organizacyjnych?

Przykładem funkcjonowania więcej niż jednego administratora w jednej jednostce organizacyjnej jest przedstawiona w Newsletter UODO dla Inspektorów Ochrony Danych - Wydanie 2 (maj 2019), str. 2, sytuacja związana z przetwarzaniem danych w związku z załatwianiem wniosków o ustalenie zdarzenia medycznego na podstawie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta przez wojewódzką komisję do spraw orzekania o zdarzeniach medycznych oraz wojewodę. Każdy z tych podmiotów uczestniczy w procesie przetwarzania przedmiotowych danych osobowych w innym zakresie. Do zadań Komisji należy przede wszystkim merytoryczne rozpatrywanie wniosków określonych osób fizycznych o ustalenie zdarzenia medycznego. Z drugiej strony wojewoda uczestniczy w procesie przetwarzania danych osobowych wnioskodawców, w tym przede wszystkim w związku z obowiązkiem zapewnienia obsługi administracyjno-biurowej komisji wojewódzkiej (zapewnienie lokalu do prowadzenia działalności w obrębie urzędu, odpowiednią obsługę kadrową, która jest upoważniona do wglądu do akt prowadzonych przez wojewódzkie komisje postępowań oraz do archiwizacji tych akt). W odniesieniu do tej sytuacji Prezes UODO wskazywał na współadministrowanie określone w art. 26 RODO. Przyjęcie w tej sytuacji współadministrowania może ułatwić obu administratorom wywiązanie się z obowiązków określonych w przepisach RODO.

Jednocześnie należy zauważyć, że istnienie w strukturach gminy, powiatu, czy województwa więcej niż jednego podmiotu będącego odrębnym administratorem, nie musi oznaczać konieczności stworzenia procedur i polityk ochrony danych osobowych w odrębnych dokumentach dla każdego z administratorów. Jedna dokumentacja może bowiem regulować kwestie ochrony danych dotyczące administratorów istniejących w ramach tej samej jednostki. Szersze informacje na ten temat znaleźć można zej na ten temat UODO wypowiedział się w odpowiedzi na pytanie: Czy kilku administratorów może mieć jedną dokumentację ochrony danych osobowych?

Jeżeli zaś chodzi o obowiązek wyznaczenia inspektora ochrony danych, np. przez radę gminy, to wskazać należy, że na podstawie art. 37 ust. 1 lit a RODO zobowiązane są do tego organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Natomiast zgodnie z brzmieniem art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych ― który to przepis prawa krajowego określa kierunek interpretacji użytego w art. 37 ust. 1 lit. a RODO, pojęcia „organ lub podmiot publiczny” ― podmiotami zobowiązanymi do wyznaczenia inspektora ochrony danych osobowych są m.in. podmioty i organy publiczne, które są jednostkami sektora finansów publicznych. Zgodnie z art. 9 pkt 1 ustawy o finansach publicznych sektor finansów publicznych tworzą m.in. organy władzy publicznej.

Gdy w ramach danej jednostki organizacyjnej np. urzędu gminy działa kilku administratorów zobowiązanych do wyznaczenia IOD, mogą oni wyznaczyć do pełnienia tej funkcji jedną, tę samą osobę.  Zgodnie z brzmieniem art. 37 ust. 3 RODO jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć - z uwzględnieniem ich struktury organizacyjnej i wielkości - jednego inspektora ochrony danych.  Skorzystanie z takiego rozwiązania wymaga dokonania analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora. Więcej informacji na ten temat znaleźć można w zamieszczonej na stronie internetowej UODO odpowiedzi na pytanie  Czy kierownik urzędu stanu cywilnego jest administratorem i czy musi wyznaczyć IOD?

2021-04-29 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2021-04-29
Wprowadził‚ informację: Edyta Madziar 2021-04-29 08:04:08
Ostatnio modyfikował: Edyta Madziar 2021-04-29 08:47:22
Inne aktualności
  • Infolinia UODO
  • 606-950-000
  • czynna w dni robocze od: 10:00-14:00
Logo biura
  • Urząd Ochrony Danych Osobowych
  • ul. Stawki 2, 00-193 Warszawa
  • kancelaria@uodo.gov.pl
  • Godziny pracy: 8.00-16.00
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt