Czy kierownik urzędu stanu cywilnego jest administratorem i czy musi wyznaczyć IOD?
W jednostce samorządu, w której pełnię funkcję IOD, burmistrz zatrudnił inną osobę na stanowisku kierownika urzędu stanu cywilnego. Czy w takiej sytuacji kierownik urzędu stanu cywilnego jest administratorem przetwarzanych przez siebie danych osobowych? Jeśli kierownik USC jest administratorem, to nasuwa mi się kolejne pytanie, czy jest on zobowiązany do wyznaczenia inspektora ochrony danych? Moja wątpliwość wynika z faktu, że ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych w art. 9 wskazuje, że przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się: jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski. Kolejne pytanie dotyczy formy w jakiej powinno nastąpić wyznaczenie inspektora przez kierownika USC?
Odpowiadając na pierwsze pytanie zauważyć należy, że ustawa z dnia 28 listopada 2014 r. Prawo o aktach stanu cywilnego określa wprost, kto realizuje cele z zakresu ustawy, w związku z tym, iż do dokonywania czynności z zakresu rejestracji stanu cywilnego został z mocy ustawy zobowiązany kierownik urzędu stanu cywilnego (art. 9 ustawy z dnia 28 listopada 2014 r. Prawo o aktach stanu cywilnego). Z tego względu należy uznać, iż to kierownik urzędu stanu cywilnego jest administratorem danych osobowych, niezależnie od tego, czy w określonej sytuacji faktycznie stanowisko to będzie piastować organ gminy – wójt (burmistrz, prezydent miasta) – czy inna osoba wyznaczona na to stanowisko przez wójta (burmistrza, prezydenta miasta) na podstawie art. 6 ust. 4 lub 5 ustawy Prawo o aktach stanu cywilnego.
Odnosząc się natomiast do pytania dotyczącego ewentualnego obowiązku wyznaczenia inspektora ochrony przez kierownika urzędu stanu cywilnego, w pierwszej kolejności stwierdzić należy, że wobec brzmienia art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, który to przepis prawa krajowego ustala kierunek interpretacji w polskim systemie prawnym, użytego w art. 37 ust. 1 lit. a RODO, pojęcia „organ lub podmiot publiczny”, nie można przyjąć, aby obowiązek wyznaczenia inspektora ochrony danych dla kierownika USC wynikał z przesłanki wymienionej w art. 37 ust. 1 lit. a RODO. Warto mieć jednak na uwadze, że nawet w sytuacji braku takiego obowiązku, administrator – kierownik urzędu stanu cywilnego – może dobrowolnie takiego inspektora wyznaczyć.
Jednocześnie należy przypomnieć, że art. 37 ust. 3 RODO dopuszcza możliwość wyznaczenia przez kilku administratorów jednego inspektora ochrony danych, przy uwzględnieniu jednak ich struktury organizacyjnej i wielkości. Zaznaczyć jednak należy, że skorzystanie z takiego rozwiązania wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych. Ocena tej kwestii zależna jest od wielu czynników, w tym m.in. od: dysponowania przez niego odpowiednią do zakresu zadań i specyfiki procesów przetwarzania danych ilością czasu, konieczności unikania konfliktu interesów oraz wielkości i struktury organizacyjnej jednostki będącej administratorem danych. Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy bowiem np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów, a także pełnienie punktu kontaktowego dla osób, których dane dotyczą oraz dla organu nadzorczego. Wobec tego decyzja w zakresie wyboru odpowiedniej osoby do pełnienia funkcji inspektora, musi być podejmowana przez administratora z pełną świadomością ciążącej na nim odpowiedzialności za prawidłową realizację ciążących na nim obowiązków wynikających z przepisów prawa. (więcej informacji na ten temat znaleźć można w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) oraz na stronie internetowej Urzędu w zakładce Inspektor Ochrony Danych, np. pod linkiem: https://uodo.gov.pl/pl/223/658).
Zatem w przypadku, gdyby burmistrz i kierownik USC wyznaczyli na swojego inspektora tę samą osobę powinni wspólnie określić zasady dotyczące zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomocy w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów.
Informujemy, że wyznaczenie do piastowania stanowiska kierownika urzędu stanu cywilnego innej osoby niż wójt (burmistrz, prezydent), który jest odrębnym administratorem, nie musi oznaczać konieczności stworzenia procedur i polityk ochrony danych dotyczących przetwarzania w tym obszarze w odrębnym dokumencie. Jedna dokumentacja może bowiem regulować kwestie ochrony danych dotyczące administratorów istniejących w ramach tej samej jednostki.
Warto także pamiętać, że jeśli kierownik USC decydowałby się na wyznaczenie inspektora, to on jako administrator powinien dokonać tego wyznaczenia, a także zawiadomić Prezesa UODO o jego wyznaczeniu.
Odnosząc się zaś do pytania dotyczącego formy czynności polegającej na wyznaczeniu inspektora, wskazać należy przede wszystkim, że przepisy RODO oraz ustawy o ochronie danych osobowych nie zwierają szczegółowych uregulowań w tym zakresie. Wobec tego decyzja w tej kwestii należy do administratora. Biorąc jednak pod uwagę zasadę rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie przepisów w zakresie ochrony danych osobowych, co w praktyce najczęściej oznacza dokumentowanie wszelkich procesów związanych z ochroną danych osobowych, administrator powinien wybrać taką formę, która umożliwi mu wykazanie w szczególności: kiedy i kogo wyznaczył do pełnienia takiej funkcji.