Samorządowe Centra Usług Wspólnych (CUW) są coraz popularniejsze w samorządach. Najczęściej powoływane są w celu obsługi finansowo-księgowej, sprawozdawczości, rozliczeń płac i centralizacji podatku VAT jednostek oświatowych. Szczegółowy zakres tej obsługi powinna precyzować uchwała organu stanowiącego jednostki samorządu terytorialnego.Z działalnością CUW wiąże się jednak szereg problemów prawnych, z których część dotyczy przetwarzania danych osobowych. W praktyce pojawia się m.in. wątpliwość czy CUW jest odrębnym administratorem danych przekazanych przez obsługiwane jednostki. Konieczna jest również odpowiedź na pytanie, czy szkoła na rzecz której CUW świadczy swoje usługi, musi zawrzeć z Centrum umowę powierzenia przetwarzania danych osobowych (DPA).
1. Czy CUW jest odrębnym administratorem danych osobowych?
Aby odpowiedzieć na to pytanie, należy przypomnieć, że w myśl obowiązujących przepisów administratorem jest podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO). Z kolei podmiotem przetwarzającym (tzw. procesorem) jest podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO).
Odnosząc powyższe ustalenia do CUW trzeba wskazać, że przepisy ustaw samorządowych (odpowiednio: art. 10d ustawy o samorządzie gminnym, art. 6d ustawy o samorządzie powiatowym oraz art. 8f ustawy o samorządzie województwa) w sposób wyraźny upoważniają tego rodzaju jednostki obsługujące do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnych do wykonywania zadań w ramach wspólnej obsługi tej jednostki. Przepisy te nie przyznają jednak CUW statusu odrębnego administratora danych osobowych. Oznacza to, że dla danych osobowych przekazywanych przez szkoły do CUW to właśnie szkoły pozostają administratorami (ADO). CUW nie decyduje bowiem o celach i sposobach przetwarzania tych danych – wykonuje jedynie konkretne czynności zlecone przez administratora.
Pogląd ten znajduje swoje potwierdzenie m.in. w stanowisku Prezesa UODO, który odpowiadając na pytanie czy Centra Usług Wspólnych mogą powołać jednego IOD dla wszystkich obsługiwanych jednostek, stwierdził: „CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane. Może je przetwarzać w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tych jednostek […]. W zależności od różnych możliwych rozwiązań stosowanych przez konkretne samorządy, CUW może być natomiast administratorem danych np. swoich pracowników” (zob. https://uodo.gov.pl/pl/495/2402). Natomiast w przygotowanym przez UODO we współpracy z MEN poradniku RODO dla szkół pt. „Ochrona danych osobowych w szkołach i placówkach oświatowych”, wyrażona została opinia, że w takich przypadkach szkoła, jako administrator danych, udostępnia dane w ramach powierzenia przetwarzania danych tylko w zakresie niezbędnym do realizacji celu jakim jest obsługa administracyjna, prawna, czy finansowa oraz po spełnieniu wymogów określonych w art. 28 RODO (zob. https://uodo.gov.pl/pl/201/481).
2. Czy szkoła powinna zawrzeć umowę powierzenia przetwarzania danych osobowych z CUW?
Jak zostało już wskazane, CUW nie ma statusu administratora danych przekazanych przez obsługiwane jednostki, lecz jest podmiotem przetwarzającym. Tymczasem podmiot przetwarzający może przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora. Oznacza to, że placówka oświatowa, na rzecz której CUW świadczy swoje usługi musi zawrzeć z taką jednostką umowę powierzenia przetwarzania danych osobowych. Wymóg taki wprowadza art. 28 pkt 3 RODO, zgodnie z którym przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Opierając się na treści przywołanego wyżej przepisu, można przyjąć, że zawarcie umowy powierzenia przetwarzania danych osobowych nie byłoby konieczne tylko w przypadku, gdyby przedmiotowe upoważnienie zostało zawarte w uchwale w sprawie wspólnej obsługi jednostek organizacyjnych samorządu terytorialnego zaliczanych do sektora finansów publicznych. Taką uchwałę można bowiem uznać za „inny instrument prawny” w rozumieniu art. 28 ust. 3 RODO. Zwykle jednak uchwały w sprawie utworzenia CUW nie zawierają postanowień dotyczących powierzenia przetwarzania danych osobowych, co wiąże się z koniecznością zwarcia stosownych umów. A mając na względzie fakt, że dotyczy to wszystkich administratorów, na rzecz których CUW ma świadczyć swoje usługi, można sugerować w takim przypadku uzgodnienie wspólnego wzoru powierzenia. Jeżeli takie rozwiązanie nie będzie możliwe, to każdy administrator będzie musiał opracować odrębny dokument i doprowadzić do jego podpisania.
Pamiętać przy tym należy, że zarówno umowa jak i „inny instrument prawny” muszą spełniać wszystkie wymagania określone w art. 28 RODO. Ma to gwarantować odpowiednie zabezpieczenie i zachowanie w tajemnicy przekazanych przez administratora danych osobowych, jak również umożliwić administratorowi lub upoważnionemu przez administratora audytorowi przeprowadzanie audytów, w tym inspekcji.
Justyna Jabłonka
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.