Jedną z niedookreślonych prawnie kwestii jest brak jednoznacznych uregulowań, kto jest administratorem danych przetwarzanych w obrębie jednostek samorządu terytorialnego. W samorządach mamy mnogość jednostek organizacyjnych, organów (chociażby wójt, zarządy, rady i komisje), a w ramach samego urzędu mogą funkcjonować różne komórki i podmioty realizujące zadania publiczne, np. urząd stanu cywilnego, straż miejska oraz wiele innych komisji i gremiów przetwarzających dane osobowe na użytek wykonywanych zadań publicznych.
Prawo definiujące administratora danych osobowych jest dość lakoniczne – to organ, jednostka organizacyjna, podmiot lub osoba (fizyczna, prawna) decydująca o celach i środkach przetwarzania danych. A przetwarzanie oznacza operacje na danych, czyli ich zbieranie, utrwalanie, przechowywanie, zmienianie, opracowywanie, udostępnianie, usuwanie itp. W orzecznictwie sądowym (wyrok NSA I OSK 864/16) możemy przeczytać, że statusu administratora danych osobowych nie nabywa się z samego posiadania tych danych, ale z faktycznie sprawowanej kontroli nad ich przetwarzaniem. To duże wyzwanie dla szefów urzędów gmin czy powiatów, bo nawet Urząd Ochrony Danych Osobowych nie radzi sobie z jednoznaczną odpowiedzią na pytanie, kto jest administratorem w samorządzie. Dlatego – jak Polska długa i szeroka – mamy do czynienia z uznawaniem za administratora szefa urzędu, czasem urzędu JST, a nawet zamiennie – gminy.
Oczywiście, za wszystko w urzędzie odpowiada wójt, burmistrz, prezydent. Sęk w tym, że bałagan prawny, a właściwie brak regulacji, kto jest administratorem – nie pozwala również na jednoznaczne przypisanie odpowiedzialności w przypadku wycieku danych lub w razie innych naruszeń. Właściwej ochronie danych osobowych nie sprzyja fakt, że w urzędzie może funkcjonować kilku administratorów odpowiadających za organizację przetwarzania i związane z tym bezpieczeństwo techniczne. Natomiast o samych rozwiązaniach technicznych i innych środkach zapewniających bezpieczeństwo przetwarzania danych tak naprawdę decyduje kierownik jednostki, czyli wójt. Jeśli nastąpi naruszenie czy nawet zagrożenie naruszeń danych osobowych, to mamy dylemat – kto za co odpowiada. Czy administrator prowadzący rejestr np. osób korzystających z pomocy społecznej, jeśli na jego prośby o wdrożenie odpowiednich zabezpieczeń wójt odpowiada, że nie ma pieniędzy w budżecie, czy rada, która na jego wniosek tych funduszy nie uchwaliła? Ten łańcuszek powiązań zakresu obowiązków i odpowiedzialności można przełożyć na inne obszary ryzyk związanych z przetwarzaniem danych osobowych, zwłaszcza tych wrażliwych, np. ujawniających stan zdrowia, poglądy polityczne, nałogi, karalność, a nawet dane biometryczne czy genetyczne. Wycieki takich danych rodzą także ogromne koszty – o czym świadczą wysokie odszkodowania zasądzane na rzecz poszkodowanych osób.
Inna kwestia to dylemat, czy w ramach obowiązku wyznaczania inspektora danych osobowych, jaki na samorządy nałożył ustawodawca, należy wyznaczać inspektorów w każdej jednostce podporządkowanej z sektora finansów publicznych i dla każdej powielać procedury i systemy zabezpieczeń?
W samorządzie mamy dziesiątki baz danych osobowych służących różnym celom – od podatkowych, przez dane zawarte w aktach osobowych pracowników, po oświadczenia dotyczące segregacji śmieci. Jeśli chcielibyśmy sprawdzić, jakie nasze dane posiada i przetwarza urząd samorządowy, to sprawa wcale nie jest prosta. Żeby je zidentyfikować w gąszczu posiadanych zasobów, trzeba pytać o to poszczególnych administratorów, a na to wszystko nakłada się bałagan związany z dokumentowaniem ochrony danych, często spotykany brak odpowiednich upoważnień do przetwarzania, a nawet prawidłowo sformułowanych polityk ich ochrony.
To tylko pobieżny przegląd problemów, jakie mają samorządy z określeniem, kto jest administratorem danych osobowych, a więc kto za co odpowiada, za jakie ryzyka i zagrożenia oraz inne naruszenia danych, kto ma wdrażać odpowiednie środki ochrony, zabezpieczenia, czy mamy mnożyć inspektorów ochrony danych oraz systemy bezpieczeństwa, rejestry i procedury przetwarzania. Warto więc, aby ustawodawca pochylił się nad postulatami ekspertów od ochrony danych osobowych, którzy nawołują, że już najwyższy czas, aby w naszym prawie wprowadzić jasną regulację dotyczącą administratora danych, a przy okazji rozwiać wątpliwości co do wyznaczania inspektorów ochrony danych osobowych.
* zastępca redaktora naczelnego „Wspólnoty”
