Ochrona danych osobowych w jednostkach samorządu terytorialnego to nie tylko obowiązek prawny, ale przede wszystkim kwestia odpowiedzialności wobec mieszkańców, uczniów, pracowników i beneficjentów usług publicznych. W ostatnim czasie decyzja Prezesa UODO ws. McDonald’s Polska przypomniała o jednej z najczęściej popełnianych praktycznych pomyłek przez administratorów: zaniechaniu realnej współpracy z IOD oraz pominięciu obowiązku oceny zabezpieczeń jeszcze przed podpisaniem umowy z podmiotem przetwarzającym.

Jako adwokat i IOD w samorządach obserwuję ten problem z bliska. Zdarza się, że jednostka podpisuje umowę powierzenia „z marszu”, bez uprzedniej oceny ryzyka, bez sprawdzenia dostawcy, a często – bez wiedzy Inspektora Ochrony Danych. To prosta droga do problemów, które można przewidzieć i wyeliminować wcześniej.

Obowiązek współpracy z IOD – nie tylko formalność

Zgodnie z art. 38 ust. 1 RODO, administrator (czyli np. gmina, urząd miasta, szkoła, OPS) ma obowiązek zapewnić Inspektorowi Ochrony Danych udział we wszystkich sprawach dotyczących ochrony danych osobowych. To oznacza, że IOD powinien być:

• zaangażowany już na etapie planowania przetwarzania danych (np. wdrożenie systemu do ewidencji świadczeń, outsourcing kadr),

• konsultowany przy wyborze wykonawcy usług, któremu przekazane zostaną dane,

• informowany o zmianach procesów przetwarzania lub incydentach.

W praktyce JST bywa, że IOD dowiaduje się o podpisanej umowie dopiero w momencie… zgłoszenia naruszenia.
To błąd. Pominięcie IOD może prowadzić do niezgodnego z RODO powierzenia danych, braku wymaganych środków ochrony i niewykrycia istotnych ryzyk.

Audyt podmiotu przetwarzającego – nie podpisuj „w ciemno”

Zanim powierzysz dane podmiotowi zewnętrznemu (np. firmie informatycznej, operatorowi aplikacji, zewnętrznemu CUW), masz obowiązek ocenić, czy ten podmiot zapewnia wystarczające gwarancje ochrony danych (art. 28 ust. 1 RODO).

Co to oznacza w praktyce?

Zanim podpiszesz umowę powierzenia:

1. Zaangażuj IOD – poproś o opinię prawną lub checklistę do weryfikacji podmiotu.

2. Poproś wykonawcę o odpowiedzi na pytania dot. bezpieczeństwa, np.:

   • Jakie środki techniczne stosuje (np. szyfrowanie, kopie zapasowe)?

   • Czy ma procedury reagowania na incydenty?

   • Gdzie przechowuje dane? (lokalizacja serwera!)

   • Czy ma ubezpieczenie od incydentów z danymi?

3. Zweryfikuj, czy podwykonawcy (jeśli są) mają podpisane umowy podpowierzenia.

4. Zażądaj przedstawienia polityki bezpieczeństwa lub potwierdzenia zgodności z RODO.

5. Upewnij się, że umowa powierzenia zawiera zapisy o prawie do audytu i kontroli – i że będziesz z tego prawa korzystać.

Nie każda umowa z dostawcą usług IT powinna automatycznie skutkować powierzeniem danych. Czasem wykonawca w ogóle nie przetwarza danych osobowych – ale tę analizę trzeba przeprowadzić świadomie.

 

Praktyczny przykład z JST:

Gmina wdraża nowy system do zarządzania dokumentacją mieszkańców. Podpisuje umowę z firmą informatyczną, nie angażując IOD i nie pytając, gdzie będą przechowywane dane. Po 6 miesiącach okazuje się, że dane mieszkańców trafiły na serwer w kraju spoza UE, bez podstawy prawnej do transferu. Gmina ponosi odpowiedzialność, mimo że to „zrobił wykonawca”.

 

Co powinna zrobić każda JST – podsumowanie:

✔ Zawsze angażuj IOD przed podpisaniem umowy z wykonawcą.
✔Weryfikuj podmiot przetwarzający – nie tylko pod kątem ceny, ale także zabezpieczeń.
✔Prowadź i dokumentuj analizę ryzyka – przy nowych procesach, usługach, systemach.
✔Realizuj prawo do kontroli – przynajmniej raz na 2–3 lata audytuj największych przetwarzających.
✔Zadbaj o realną politykę minimalizacji danych – nie zbieraj więcej, niż trzeba.

 

Ochrona danych w samorządzie to nie dział IT. To obowiązek administratora – wójta, burmistrza, prezydenta miasta, dyrektora jednostki. IOD to nie przeszkoda w pracy – to osoba, która pomaga unikać ryzyk, kar i wstydu. Warto z tej wiedzy korzystać.

Adw. Justyna Jabłonka
Kancelaria Wyrzykowscy

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.

Wiadomość została wysłana. Dziękujemy!

Wyrażam zgodę na przetwarzanie przez Advaiso sp. z o. o. moich danych w celu udzielenia odpowiedzi na przesłane pytanie, zgodnie z zasadami określonymi w Polityce prywatności*

Wyślij

Zobacz także

• Odliczenie VAT z faktury tradycyjnej i brak obowiązku korekty JPK po dosłaniu tej faktury do KSeF.
• Faktury dokumentujące WNT lub import usług - jak oznaczyć w JPK_V7?
• Wodny plac zabaw w gminie – odpłatny wstęp podlega VAT, a gmina odliczy podatek od inwestycji
• Prywatne rozmowy z telefonu służbowego a VAT – co na to sądy?
• JST użyczała pojazd, który planuje teraz sprzedać na złom – co z opodatkowaniem VAT? Wyrok WSA z 10.09.2025 r.
• Rekompensata dla spółki w formie wkładu własnego – ważny wyrok NSA w sprawie podatku VAT
• Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa a samorządowe jednostki organizacyjne
• Czy można dokonać odliczenia podatku VAT przed otrzymaniem faktury zakupu? - TSUE się wypowiedział!
• Nowe zasady ujmowania faktur korygujących in minus w związku z KSeF
• Umowa przetwarzania jako fundament bezpiecznego przetwarzania w każdym sektorze – lekcja z sektora kurierskiego w świetle wytycznych PUODO