Czy Centra Usług Wspólnych mogą powołać jednego IOD dla wszystkich obsługiwanych jednostek?
Centra Usług Wspólnych (CUW) są tworzone jako osobne podmioty, a domeną ich działań są najczęściej działania pomocnicze, wykonywane zarówno w odniesieniu do organów wykonawczych, jak i uchwałodawczych samorządu terytorialnego, jak również do obsługi poszczególnych jednostek organizacyjnych, między innymi urzędów, zakładów i jednostek budżetowych. Ostateczną decyzję, zarówno co do powołania samorządowego centrum usług wspólnych, jak i jego kształtu oraz zakresu realizowanych przez niego zadań, podejmuje organ stanowiący danej jednostki samorządu terytorialnego.
CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane. Może je przetwarzać w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tych jednostek (zgodnie z art. 10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6d ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym i art. 8f ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa). W zależności od różnych możliwych rozwiązań stosowanych przez konkretne samorządy, CUW może być natomiast administratorem danych np. swoich pracowników.
Na gruncie ogólnego rozporządzenia o ochronie danych obowiązek wyznaczenia inspektora ochrony danych w sektorze publicznym dotyczyć będzie wszystkich organów i podmiotów publicznych (art. 9 u.o.d.o.), zarówno tych będących administratorami danych, jak i podmiotami przetwarzającymi.
Niemniej nawet w sytuacji, gdyby miał być nim pracownik jednej z tych jednostek, np. pracownik CUW, konieczne jest osobne wyznaczenie IOD przez każdą z tych jednostek, np. każdą szkołę, dom kultury – jako osobnych administratorów. Zatem nawet jeżeli CUW świadczy obsługiwanym podmiotom usługi związane z szeroko rozumianą ochroną danych osobowych, nie jest uprawniony do wyznaczania inspektora ochrony danych w tych podmiotach. Obowiązek wyznaczania inspektora ochrony danych nie może być przeniesiony, np. w drodze uchwały czy porozumienia, na inną jednostkę organizacyjną, np. na CUW.
Każdy z podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych (niezależnie, czy będzie to jedna, ta sama osoba, czy różne osoby) będzie również zobowiązany - zgodnie z art. 37 ust. 7 RODO - do opublikowania danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego. Tak jak obowiązek wyznaczenia inspektora, tak i obowiązek powiadomienia o danych kontaktowych dotyczy zatem każdej jednostki samorządu terytorialnego, o której mowa w art. 37 ust. 1 lit. a RODO.