5 marca 2018

Czy Urzędy Gmin łamią prawo?

Zbliżający się termin wprowadzenia nowych przepisów z zakresu ochrony danych osobowych mobilizuje różnorodne instytucje na terenie kraju do zajęcia się traktowanym do tej pory po macoszemu tematem. Widmo 25 maja sprawia, że niektóre jednostki – chcąc załatwić sprawę szybko i najmniejszym kosztem – łamią przepisy prawa.

Przykładowo – w kilku Urzędach Gmin spotkaliśmy się z praktyką wyłaniania wspólnego Administratora Bezpieczeństwa Informacji, czy też późniejszego Inspektora Ochrony Danych Osobowych w ramach Centrum Usług Wspólnych. Ku naszemu zaskoczeniu niektóre gminy realizują najgorszy możliwy scenariusz, próbując zorganizować stanowisko ABI pod jednostkami obsługującymi powstałymi zgodnie z art. 53.5 Ustawy o finansach publicznych.

Warto byłoby przypomnieć zatem urzędniczemu ciału, że jednostki powołane na mocy art. 53.5 Ustawy o finansach publicznych mogą zajmować się obsługą tylko pod względem gospodarki finansowej. Cytując:

Artykuł 53.5

Kierownik jednostki obsługującej, o której mowa wart. 10b ust. 1 ustawy z dnia 8 marca 1990 r. o  samorządzie gminnym (Dz.U. z 2017 r. poz. 1875), art. 6b ust. 1 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2017 r. poz. 1868) albo art. 8d ust. 1 ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2016 r. poz. 486, z późn. zm. 1), jest odpowiedzialny za gospodarkę finansową oraz rachunkowość i sprawozdawczość jednostki obsługiwanej, o której mowa w art. 10a pkt 1 i 2 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6a pkt 1 i2 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym albo art. 8c pkt 1 i 2 ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa w zakresie obowiązków powierzonych uchwałą, o której mowa w art. 10b ust. 2 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6b ust. 2 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym i art. 8d ust. 2 ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa albo porozumieniem, o którym mowa w art. 10b ust. 3 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6b ust. 3 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym i art. 8d ust. 3 ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa. Przepis ust. 2 stosuje się odpowiednio.

W przepisie ustawodawca jasno określił, w jakim zakresie może być zbudowana jednostka obsługująca. Niestety, nie ma w przywołanym artykule ani słowa o ochronie danych osobowych.

Przyznajemy, patrząc z boku, laik mógłby przyklasnąć takiemu pomysłowi. Od przedstawicieli gmin wymagamy jednak znajomości przepisów prawa. Pomysł wyłonienia wspólnego Administratora Bezpieczeństwa Informacji, czy też późniejszego Inspektora Ochrony Danych Osobowych w ramach Centrum Usług Wspólnych jest nie tylko niezgodne z art. 53.5 Ustawy o finansach publicznych – o czym sami mogli Państwo się przekonać powyżej – ale również, jak wynika z opinii Generalnego Inspektora Ochrony Danych Osobowych, Administratorem Danych jest jednostka budżetowa. Nie powinno zatem mieć miejsca stosowanie nacisków wynikających z podległości służbowej dyrektorów jednostek budżetowych, czy proponowanie przez Naczelników Wydziałów do przedyskutowania nieprzemyślanych i niezgodnych z prawem pomysłów, jak na przykład poniższy slajd:
Może warto przypomnieć zatem, że:
  1. po pierwsze, Administrator Danych Osobowych  – „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (k’woli uzupełnienia – „współadministrator” jest możliwy tylko w określonych wypadkach i po spełnieniu szeregu warunków; większość jednostek budżetowych się do tego nie zalicza)
  2. po drugie, cele i sposoby przetwarzania danych osobowych ustala dyrektor jako piastun tej roli w oparciu o jego otoczenie prawne oraz potrzeby – NIE GMINA
  3. po trzecie, znaleźliśmy taką oto opinię dotyczącą ABI (po 25 maja IOD), zatem możemy sobie wyobrazić inspektora podlegającego CUW (jednocześnie jednostce obsługującej placówkę), który w myśl art. 27 pkt. 3 h: udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich (https://gdpr.pl/artykul-28-podmiot-przetwarzajacy) …czyli de facto na podstawie przedstawionego powyżej slajdu kontroluje sam siebie.

I na zakończenie… Warto przypomnieć, że CAŁA ODPOWIEDZIALNOŚĆ za ochronę danych osobowych, w tym również za taki proceder spada IMIENNIE na Dyrektora Placówki!

You may also like...