Data publikacji: 29-04-2021

Zgodnie z definicją zawartą w art. 4 pkt 7 RODO, administratorem jest osoba fizyczna, prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W przypadku sektora publicznego podmiot będący administratorem danych czasami wskazywany jest wprost w przepisach jak np. w ustawie Karta Nauczyciela, czy ustawie o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi. Jednak najczęściej wskazanie administratora danych wymaga analizy przepisów stanowiących podstawę przetwarzania danych osobowych. O tym, czy dany podmiot publiczny jest administratorem danych, decydują wówczas rodzaj i charakter nadanych mu uprawnień z obszaru spraw publicznych oraz ustawowe zadania.

 
Jak jest w takim razie w przypadku JST?
Rozstrzygając, który podmiot jest w danej sytuacji administratorem w odniesieniu do konkretnych danych osobowych, należy dokonać analizy przepisów określających zadania ośrodków pomocy społecznej. Weźmy pod lupę niektóre z ustaw, które regulują działalność JST:

  • art. 18 ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym stanowi, że do właściwości rady gminy należą wszystkie sprawy pozostające w zakresie działania gminy, o ile ustawy nie stanowią inaczej, 
  • natomiast art. 18 ust. 2 tej ustawy wskazuje na katalog zadań przypisanych do wyłącznej właściwości rady gminy.

W tej ustawie nie został bezpośrednio określony podmiot będący administratorem, ale został wskazany pośrednio poprzez wskazanie celów przetwarzana danych i zakresu zadań. 


Jak prowadzić dokumentację dla kilku administratorów w jednej jednostce organizacyjnej?
Gdy w ramach danej jednostki organizacyjnej np. urzędu gminy działa kilku administratorów zobowiązanych do wyznaczenia IOD, mogą oni wyznaczyć do pełnienia tej funkcji jedną, tę samą osobę.  Zgodnie z brzmieniem art. 37 ust. 3 RODO, jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć - z uwzględnieniem ich struktury organizacyjnej i wielkości - jednego inspektora ochrony danych.  Skorzystanie z takiego rozwiązania wymaga dokonania analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora.


Jak poradzić sobie w przypadku wątpliwości dotyczących określania ADO?
Niewątpliwie aktualne brzmienie przepisów może rodzić wątpliwości, które mogłyby być rozwiane w toku procesu legislacyjnego poprzez nazwanie wprost konkretnych podmiotów administratorami bez względu na okoliczność faktycznej realizacji ich zadań przez inne podmioty. 
Należy jednak zauważyć, zgodnie z wytycznymi nr 07/2020 Europejskiej Rady Ochrony Danych, „koncepcje administratora i podmiotu przetwarzającego to koncepcje funkcjonalne, mają one na celu przydzielenie obowiązków zgodnie z rzeczywistymi rolami stron. Oznacza to, że status prawny podmiotu jako „administratora” lub „podmiotu przetwarzającego” musi w zasadzie być określany przez jego rzeczywistą działalność w konkretnej sytuacji, a nie na podstawie formalnego wyznaczenia podmiotu jako „administratora” lub „podmiotu przetwarzającego”. 
Na ten temat wypowiedział się także Prezes Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/225/2018.

Nina Kowalik
Kancelaria Wyrzykowscy