Przetwarzanie danych osobowych za pomocą aplikacji sieciowej stosowanej w gminie

2019-06-26 22:13

Gmina zamierza uruchomić aplikację do kontroli udzielanych dotacji w placówkach niepublicznych oświatowych, Administratorem będzie gmina, ponadto gmina ma prawo przetwarzać dane osobowe kategorii osób wymienionych w tym przepisie. Aplikacja jest sieciowa i dostępna w każdej dotowanej przez gminę placówce, pracownicy tych placówek będą wprowadzali dane osobowe pracowników oraz uczniów w związku z powyższym zachodzi konieczność upoważnienia osób wprowadzających dane do aplikacji spoza urzędu a także nadanie im dostępów do tego systemu zgodnie z procedurą nadawania uprawnień jaką obowiązuje w urzędzie gminy. Jak w wobec tego upoważnić pracowników innego Administratora? Jak wymóc na innym ADO procedurę wnioskowania o nadawania uprawnień konkretnym pracownikom w systemie do kontroli dotacji zarządzanym i utrzymywanym przez Gminę? Sprawdź w artykule

Konieczne powierzenie

W opisanej sytuacji wymagane jest zawarcie umowy powierzenia danych, ewentualnie rozważenie czy nie mamy do czynienia ze współadministrowaniem danymi osobowymi.

RODO wskazuje, że podmiotami dopuszczonymi do przetwarzania danych są oprócz administratora danych także podmiot przetwarzający, osoby upoważnione przez administratora lub podmiot przetwarzający oraz tzw. strona trzecia. RODO wprowadza także pojęcie współadministratora wskazując, że w sytuacji gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Jeśli chodzi o upoważnienie do przetwarzania danych to jest ono nadawane przez administratora danych lub podmiot przetwarzający konkretnej osobie fizycznej i wynika z niego uprawnienie do przetwarzania danych osobowych. Upoważnieniem powinni legitymować się ci pracownicy administratora danych (podmiotu przetwarzającego), którzy przetwarzają dane osobowe w ramach wykonywania obowiązków służbowych. Upoważnieniem powinny legitymować się także te osoby fizyczne (nie będące pracownikami), które można zakwalifikować jako personel administratora (podmiotu przetwarzającego) np. zleceniobiorcy, stażyści, praktykanci. Chodzi przy tym o osoby, które przetwarzają dane osobowe z zachowaniem procedur obowiązujących u administratora danych i pod jego kontrolą. Administrator nie ma kompetencji do wydawania upoważnień do przetwarzania danych dla pracowników innego administratora.

Kto wystawi upoważnienia dla pracowników

W sytuacji opisanej w pytaniu dostęp do danych zgromadzonych w ramach aplikacji mają uzyskać inni administratorzy danych i ich pracownicy. Wymaga to zawarcia umowy powierzenia danych, ewentualnie rozważenia czy nie mamy do czynienia ze współadministrowaniem danymi. Umowa powierzenia powinna być zawarta w każdym przypadku udostępnienia przez administratora podmiotowi trzeciemu danych osobowych, gdy podmiot ten przetwarzać będzie dane w imieniu i na rzecz administratora (nie będzie realizował własnych celów przetwarzania danych). Wówczas to podmiot przetwarzający zobligowany jest wystawić upoważnienia do przetwarzania danych swoim pracownikom. Administrator danych na podstawie zawartej umowy powierzenia może przeprowadzić kontrolę realizacji tego obowiązku i wyciągnąć konsekwencje określone w umowie (np. rozwiązać umowę, naliczyć kary umowne).

Więcej porad ekspertów dotyczących ochrony danych osobowych w administracji publicznej znajdziesz na stronie https://www.poradyodo.pl/administracja-publiczna-17

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) - art. 28, art. 29.

Agnieszka Kręcisz-Sarna
radca prawny, ekspert portalu PoradyODO.pl

Red.