W związku z licznymi wątpliwościami chcielibyśmy przypomnieć jaki zakres, w jakich okolicznościach oraz na jakich zasadach można udostępniać dane osobowe, których Państwa jednostka jest administratorem, organowi prowadzącemu.
Zgodnie z obowiązującym prawem organ prowadzący może uzyskać dostęp do danych osobowych przetwarzanych w jednostce podległej w ramach:
Prowadzonego postępowania kontrolnego – w zakresie niezbędnym do realizacji działań kontrolnych;
Zawartości arkusza organizacyjnego szkoły, którego treść stanowi informację publiczną;
Gdy powoła lub wyznaczy jednostkę do obsługi jednostek podległych na mocy art. 9 ust. 1 w związku z art. 10b ust. 1 ustawy o samorządzie gminnym oraz art. 6b ust. 1 ustawy o samorządzie powiatowym (w tym przypadku przekazanie danych powinno odbywać się na zasadach powierzenia przetwarzania danych osobowych).
Organ prowadzący nie jest pracodawcą w stosunku do osób zatrudnionych w jednostkach prowadzonych, jest nim kierownik danej jednostki.
Szkoła, jako Administrator Danych Osobowych, ma obowiązek przetwarzania danych zgodnie z prawem, również w zakresie ich udostępniania.
Organ prowadzący ma prawo organizować wspólną obsługę kadrową dla wszystkich jednostek podległych, w ramach której, jednostki obsługiwane muszą współpracować udostępniając niezbędne informacje, w tym dane osobowe.
Podstawę do utworzenia jednostki obsługującej dany zakres czynności, stanowi art. 9 ust. 1 w związku z art. 10b ust. 1 ustawy o samorządzie gminnym oraz art. 6b ust. 1 ustawy o samorządzie powiatowym. Zgodnie z nim Gmina może tworzyć jednostki organizacyjne, które będą realizować wspólną obsługę jednostek obsługiwanych.
Należy jednak zauważyć, że powyższy przepis nie reguluje kwestii związanych z przetwarzaniem danych osobowych.
Relacja Szkoła – organ prowadzący w kontekście obsługi kadrowo-płacowej realizuje definicję powierzenia przetwarzania danych osobowych i może zostać przeniesiona na płaszczyznę relacji ADO (Szkoła) – Podmiot Przetwarzający (organ prowadzący).
Tym samym, żeby przetwarzanie było zgodne z prawem należy w ramach przedmiotowej czynności spełnić wymagania określone w art. 28 ust. 3 RODO, w którym określone zostały zasady na jakich dochodzi do powierzenia przetwarzania danych osobowych.
Przede wszystkim musi być to forma pisemna, w tym elektroniczna i może zostać zrealizowana poprzez:
Umowę powierzenia przetwarzania danych osobowych
Uchwałę Rady w zakresie przekazania UM zadania obsługi kadrowo-płacowej podległych jednostek
Porozumienie w zakresie prowadzenia przedmiotowej obsługi.
Bez względu jednak na formę, każda z 3 wymienionych możliwości musi zawierać wszystkie elementy wskazane we wspomnianym art. 28 RODO, zgodnie z którym podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Udostępnianie danych osobowych organowi prowadzącemu
Comments