Zespół do obsługi szkół i przedszkoli a zbiory danych

Jakie zbiory danych musi zgłaszać Zespół do obsługi szkół i przedszkoli?
Coraz częściej spotykamy się z sytuacją, że gmina czy powiat tworzą jednostki organizacyjne – zespoły do obsługi podlegających im szkół i przedszkoli. Ich zadania to głównie obsługa finansowa i kadrowa szkół. Każdy dyrektor szkoły/przedszkola zawiera z takim z zespołem porozumienie – udziela mu upoważnienia do obsługi.

Problemem dla nas w tej sytuacji jest określenie, jakie zbiory danych osobowych powinien zgłosić do rejestru GIODO taki zespół. Jeśli zapewnia on obsługę księgowo-finansową, działając na mocy upoważnienia dyrektora (jako ADO zbiorów danych pracowników i uczniów szkoły) to należy założyć, że jest to zbiór im powierzony do przetwarzania (analogicznie do biur rachunkowych, obsługujących firmy) – i co za tym idzie nie oni go zgłaszają, ponieważ nie są ADO”.

W takim przypadku nie ma mowy o upoważnieniu, tylko o powierzeniu przetwarzania danych osobowych. Powierzenie polega na przekazaniu danych osobowych przetwarzanych przez administratora danych podmiotowi trzeciemu, który na zlecenie administratora danych będzie je przetwarzał, w celach i za pomocą środków określonych przez tego administratora. Innymi słowy powierzenie przetwarzania danych osobowych odbywa się w relacji administrator danych – podmiot (lub podmioty) przetwarzający dane osobowe (na jego wyraźne zlecenie). Podmiot przetwarzający jest swego rodzaju wykonawcą działającym w imieniu administratora danych i wykonuje pewne czynności za niego – przetwarza dane. W tym przypadku administratorem danych osobowych jest Szkoła, która powierza wykonywanie czynności księgowo/finansowych i kadrowych wyodrębnionej w gminie lub powiecie jednostce. Kwestia upoważnień dla poszczególnych osób, które działają już w imieniu gminy lub powiatu jest poza kompetencją szkoły.

W konsekwencji faktycznie jest tak, że administratorem danych osobowych nadal jest Szkoła (dyrektor placówki działający w jej imieniu), a nie gmina lub powiat, więc ewentualny obowiązek rejestracji takich zbiorów danych (powierzonych do przetwarzania) spoczywa wyłącznie na Szkole jako administratorze danych, co wynika wprost z treści art. 40 ustawy o ochronie danych osobowych. Gmina lub powiat nie są w tym zakresie administratorem danych i ten obowiązek jest wobec nich wyłączony.

Zgodnie z treścią art. 31 ust. 1 ustawy o ochronie danych osobowych powierzenie przetwarzania danych osobowych – co do zasady – wymaga zawarcia stosownej umowy na piśmie przetwarzania danych. Nowym przepisem jest natomiast art. 31 ust. 2a ww. ustawy. Przepis ten zawiera wyjątek od wskazanej powyżej zasady, wyłączając obowiązek zawarcia umowy w formie pisemnej, jeżeli obie strony stosunku powierzenia danych do przetwarzania, a więc zarówno administrator danych, jak i procesor, są podmiotami z sektora publicznego, o których mowa w art. 3 ust. 1 ustawy o ochronie
danych osobowych. Wymóg zawarcia umowy w formie pisemnej będzie więc nadal aktualny w przypadku zlecenia (przez podmiot z sektora prywatnego) przetwarzania danych podmiotowi z sektora prywatnego oraz podmiotom niepublicznym realizującym zadania publiczne, jak również między dwoma podmiotami, z których jeden należy do sfery publicznej, a drugi do sfery prywatnej (niepublicznej).

Na marginesie wskazać należy, iż nowy przepis wprowadzony do ustawy o ochronie danych osobowych budzi wątpliwości co do zgodności z przepisami dyrektywy 95/46/WE. Na gruncie przepisu art. 17 ust. 3 ww. dyrektywy, akt prawny zastępujący umowę powierzenia musi mieć charakter szczegółowy, na mocy którego przetwarzający podlega administratorowi danych i zgodnie z którym przetwarzający będzie działać wyłącznie na polecenie administratora danych. Jak słusznie podkreśla GIODO, aby powierzenie ustawowe było dopuszczalne, właściwe przepisy powinny szczegółowo określać jego warunki oraz granice, w jakich może poruszać się podmiot przetwarzający dane (komunikat dotyczący nowelizacji ustawy o ochronie danych osobowych, dostępny na www.giodo.gov.pl). W konsekwencji, jak wskazuje GIODO, wprowadzona nowelizacja art. 31 ustawy o ochronie danych osobowych (dodanie art. 31 ust. 2a) może więc zostać uznana za stojącą w sprzeczności z obowiązującą dyrektywą 95/46/WE (pismo GIODO z 9.2.2016 r., DOLiS-033-32/16, dostępne na stronie www.giodo.gov.pl.) oraz z rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. ogólne rozporządzenie o ochronie danych), w szczególności ze względu na naruszenie ukształtowanej na ich gruncie zasady tzw. rozliczalności danych (por. m.in. opinia 3/2010 w sprawie rozliczalności danych Grupy Roboczej Art. 29 Ds. Ochrony Danych Osobowych, przyjęta 13.7.2010 r.). W praktyce, w niektórych, bardziej skomplikowanych stanach faktycznych może dojść do sytuacji kiedy niemożliwe będzie ustalenie, który organ administracji publicznej jest administratorem danych dla konkretnej operacji przetwarzania danych, a który podmiotem, któremu ich przetwarzanie wyłącznie powierzono. W przypadku większej liczby powierzeń przetwarzania danych osobowych pomiędzy tymi samymi organami administracji publicznej, może się okazać niemożliwe lub bardzo trudne ustalenie zakresu i celu poszczególnych powierzeń.

Uznając jednakże, iż komentowany wyżej przepis obowiązuje, uznać należy, iż w świetle nowego uregulowania, tj. art. 31 ust. 2a ustawy o ochronie danych osobowych, powierzenie przetwarzania danych osobowych przez szkołę publiczną (stanowiącą zgodnie z ustawą o samorządzie gminnym i ustawą o samorządzie powiatowym jednostkę organizacyjną gminy lub powiatu) na rzecz innej jednostki organizacyjnej gminy lub powiatu, wyjątkowo nie będzie wymagać zawarcia pisemnej umowy powierzenia. Dla celów rozliczalności wskazane byłoby jednak wydanie odrębnego aktu wewnętrznego (np. zarządzenia) w formie dokumentu pisemnego, który będzie określał zakres takiego powierzenia, cele i zadania z tym związane, aby zachować przejrzystość i przetwarzania danych osobowych (zalecenie niewiążace).

Powyższa odpowiedź udzielona przez Kancelarię to informacja prawna, która odpowiada stricte na zadane pytanie, bez szerszej analizy stanu faktycznego. W związku z powyższym odpowiedzialność Kancelarii ograniczona jest wyłącznie do zakresu zadanego pytania.

Odpowiedź udzielona przez Kancelarię Olech i Wspólnicy