Udostępnianie danych osobowych organowi prowadzącemu

W związku z licznymi wątpliwościami chcielibyśmy przypomnieć jaki zakres, w jakich okolicznościach oraz na jakich zasadach można udostępniać dane osobowe, których Państwa jednostka jest administratorem, organowi prowadzącemu.

Zgodnie z obowiązującym prawem organ prowadzący może uzyskać dostęp do danych osobowych przetwarzanych w jednostce podległej w ramach:

  1. Prowadzonego postępowania kontrolnego – w zakresie niezbędnym do realizacji działań kontrolnych;
  2. Zawartości arkusza organizacyjnego szkoły, którego treść stanowi informację publiczną;
  3. Gdy powoła lub wyznaczy jednostkę do obsługi jednostek podległych na mocy art. 9 ust. 1 w związku z art. 10b ust. 1 ustawy o samorządzie gminnym oraz art. 6b ust. 1 ustawy o samorządzie powiatowym (w tym przypadku przekazanie danych powinno odbywać się na zasadach powierzenia przetwarzania danych osobowych).

Organ prowadzący nie jest pracodawcą w stosunku do osób zatrudnionych w jednostkach prowadzonych, jest nim kierownik danej jednostki.

Szkoła, jako Administrator Danych Osobowych, ma obowiązek przetwarzania danych zgodnie z prawem, również w zakresie ich udostępniania.

Organ prowadzący ma prawo organizować wspólną obsługę kadrową dla wszystkich jednostek podległych, w ramach której, jednostki obsługiwane muszą współpracować udostępniając niezbędne informacje, w tym dane osobowe.

Podstawę do utworzenia jednostki obsługującej dany zakres czynności, stanowi art. 9 ust. 1 w związku z art. 10b ust. 1 ustawy o samorządzie gminnym oraz art. 6b ust. 1 ustawy o samorządzie powiatowym. Zgodnie z nim Gmina może tworzyć jednostki organizacyjne, które będą realizować wspólną obsługę jednostek obsługiwanych.

Należy jednak zauważyć, że powyższy przepis nie reguluje kwestii związanych z przetwarzaniem danych osobowych.

Relacja Szkoła – organ prowadzący w kontekście obsługi kadrowo-płacowej realizuje definicję powierzenia przetwarzania danych osobowych i może zostać przeniesiona na płaszczyznę relacji ADO (Szkoła) – Podmiot Przetwarzający (organ prowadzący).

Tym samym, żeby przetwarzanie było zgodne z prawem należy w ramach przedmiotowej czynności spełnić wymagania określone w art. 28 ust. 3 RODO, w którym określone zostały zasady na jakich dochodzi do powierzenia przetwarzania danych osobowych.

Przede wszystkim musi być to forma pisemna, w tym elektroniczna i może zostać zrealizowana poprzez:

  1. Umowę powierzenia przetwarzania danych osobowych
  2. Uchwałę Rady w zakresie przekazania UM zadania obsługi kadrowo-płacowej podległych jednostek
  3. Porozumienie w zakresie prowadzenia przedmiotowej obsługi.

Bez względu jednak na formę, każda z 3 wymienionych możliwości musi zawierać wszystkie elementy wskazane we wspomnianym art. 28 RODO, zgodnie z którym podmiot przetwarzający:

  1. a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. c) podejmuje wszelkie środki wymagane na mocy art. 32;
  4. d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
  5. e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  6. f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;
  7. g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W razie pytań i wątpliwości u naszych klientów, prosimy o kontakt

Udostępnianie danych osobowych organowi prowadzącemu