Porady eksperta

Upoważnienie w RODO

Pytanie: Czy wiceburmistrz w Urzędzie Miasta musi posiadać upoważnienie do przetwarzania danych osobowych w myśl nowych przepisów RODO?

W pierwszej kolejności wskazać należy, że jednym z obowiązków, jakie wprowadziło Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, to nałożenie na podmioty publiczne przetwarzające dane osobowe (m.in. samorządy: gminy, powiaty, województwa) obowiązku wyznaczenia inspektora ochrony danych (IOD).

Pomimo, że wprost taki obowiązek z rozporządzenia lub ustawy nie wynika, to oczywiście o ile wiceburmistrz ma właściwie wykonywać swoje obowiązki (realizować zadania publiczne) to powinien mieć upoważnienie do przetwarzania danych osobowych.

Z rozporządzenia UE wynika m.in. obowiązek wyznaczenia inspektora ochrony danych zawsze w sytuacji, gdy przetwarzanie danych ma być dokonywane przez organ lub podmiot publiczny (wyjątkiem od tej reguły są sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości). Zgodnie z art. 9 ustawy o ochronie danych, przez organy i podmioty publiczne mające obowiązek wyznaczenia inspektora rozumie się m.in. jednostki sektora finansów publicznych, czyli także jednostki samorządu terytorialnego i ich związki.

Zgodnie z art. 10 ust. 1 ustawy o ochronie danych osobowych podmiot, który wyznaczył inspektora, zawiadamia o tym Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

Ponadto podmiot, który wyznaczył inspektora, musi udostępnić dane inspektora, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej. W przepisach ww. ustawy przewidziano również możliwość wyznaczenia jednego inspektora ochrony danych dla kilku podmiotów publicznych przy uwzględnieniem ich struktury organizacyjnej i wielkości. W takim przypadku Prezes Urzędu jest zawiadamiany o wyznaczeniu inspektora przez każdy z tych podmiotów oddzielnie. Przykładowo Urząd Miasta może ustanowić IOD, który będzie także pełnił tę funkcję dla innych organów jednostek miasta.

W przypadku jednostek samorządu terytorialnego (Urząd Miasta/Gminy) organem wykonawczym będzie odpowiednio wójt, burmistrz, prezydent miasta. A zatem ten właśnie organ będzie powoływał inspektora ochrony danych osobowych, z uwagi na fakt, że jest w istocie administratorem danych osobowych (ADO) kierując podmiotem przetwarzającym dane.

Wskazać w należy, że z godnie z art. 4 ust. 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Natomiast podmiot przetwarzający zgodnie z art. 4 ust. 8 RODO oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Wobec powyższego z uwagi na to, że burmistrz/wójt jest administratorem danych osobowych, to może on i powinien udzielić stosownych upoważnień w celu przetwarzania danych osobowych m.in. np. swoim zastępcom. Ponadto wskazać należy, że godnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, mając do niego stosowne upoważnienie chyba, że wymaga tego prawo Unii lub prawo państwa członkowskiego. Upoważnienie do przetwarzania danych osobowych powinno zawierać m.in:

  • datę, miejscowość;
  • imię, nazwisko oraz stanowisko osoby, którą upoważniamy do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych;
  • zakres upoważnienia ze szczególnym uwzględnieniem informacji do jakich zbiorów danych upoważniamy;
  • cel upoważnienia;
  • okres ważności upoważnienia;
  • podpis osoby upoważniającej.

Regulacje w zakresie wydawania upoważnień, ich ewidencji oraz ochrony informacji danych osobowych powinny być określane przez Politykę Bezpieczeństwa Informacji, Regulamin w zakresie bezpieczeństwa i ochrony informacji.

Stan prawny na 20.08.2018 r.

 

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L 2016 Nr 119, str. 1);
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000).

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT