Obowiązek zawarcia umowy powierzenia z CUW

rodosfera.pl 2 lat temu

Niektóre jednostki już są lub mogą zostać objęte obsługą zewnętrzną w zakresie kadrowym, płacowym lub księgowym przez inny podmiot wyznaczony przez organ prowadzący.

W takim przypadku administrator danych powierza przetwarzanie danych, a podmiot przetwarzający odpowiada wobec administratora za ich adekwatne przetwarzanie zgodnie z umową.

Poruszany temat jest istotny, ze względu na fakt, iż licznie występują przypadki, w których relacja CUW – jednostka obsługiwana, nie jest formalnie uregulowana w zakresie ochrony danych osobowych. Obszar ten pozostaje także w kręgu zainteresowania Prezesa Urzędu Ochrony Danych Osobowych, który wydał decyzję nakładającą na Sułkowicki Ośrodek Kultury 2,5 tys. zł kary, za brak uregulowania kwestii powierzenia w zakresie prowadzenia ksiąg rachunkowych, przechowywania dokumentacji oraz prowadzenia ewidencji i sporządzania raportów w obszarze finansów, podatków oraz ZUS.

Niektóre jednostki już są lub mogą zostać objęte obsługą zewnętrzną w zakresie kadrowym, płacowym lub księgowym przez podmiot zewnętrzny wyznaczony przez organ prowadzący. Jest to możliwe m.in. na mocy ustawy o samorządzie gminnym z dnia 8 marca 1990 r., która tworzy możliwość, na mocy uchwały, ustanowienia wspólnej obsługi kadrowej, płacowej i informatycznej dla wszystkich jednostek, dla których dany samorząd jest organem prowadzącym.

Art. 10d ustawy o samorządzie gminnym wskazuje, iż jednostka obsługująca jest uprawniona do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnych do wykonywania swoich zadań. Obsługa może zostać powierzona wydzielonej komórce organizacyjnej, komórce już istniejącej lub powołanemu centrum usług wspólnych lub innemu podmiotowi, którego zadaniem będzie realizacja zadań określonych w przytoczonym artykule. Niemniej artykuł 10d nie mówi, iż jednostka obsługująca staje się administratorem dla danych osobowych jej przekazanych.

W stanowisku Prezesa Urzędu Ochrony Danych Osobowych, wyrażonym na stronie internetowej UODO, wskazano w kontekście możliwości powołania przez CUW jednego IOD dla kilku obsługiwanych jednostek, jednoznacznie wskazano, iż CUW (czy też jednostka obsługująca) nie jest oddzielnym administratorem w stosunku do danych osobowych przekazywanych przez jednostki obsługiwane:

https://uodo.gov.pl/pl/225/660

Dodatkowo, w opublikowanym Poradniku dla szkół, wydanym wspólnie z Ministerstwem Edukacji Narodowej, wskazano, że:

„(…) podmiot, któremu administrator danych powierzył ich przetwarzanie, odpowiada wobec administratora danych za przetwarzanie danych niezgodnie z zawartą umową. (…). Odnosi się to również do sytuacji ustawowego powierzenia przetwarzania danych, np., gdy obsługę administracyjną, czy księgową pełni jednostka powołana przez organ prowadzący.” (Poradnik dla szkół, roz. 1.11, str. 17, https://uodo.gov.pl/pl/p/ochrona-danych-osobowych-w-szkolach-i-placowkach-oswiatowych-poradnik ).

Proszę pamiętać, iż wspomniane powierzenie (zgodnie z art. 28 RODO) może przyjąć inną formę niż umowa. Równie dobrze zapisy wyczerpujące znamiona powierzenia mogą zostać zawarte w porozumieniu czy uchwale. Wybór należy do stron regulujących powierzenie.

Powyższy temat jest istotny, ze względu na fakt, iż licznie występują przypadki, w których relacja CUW – jednostka obsługiwana nie jest formalnie uregulowana w zakresie ochrony danych osobowych. Obszar ten pozostaje także w kręgu zainteresowania Prezesa Urzędu Ochrony Danych Osobowych, który wydał decyzję nakładającą na Sułkowicki Ośrodek Kultury 2,5 tys. zł kary za brak uregulowania kwestii powierzenia w zakresie prowadzenia ksiąg rachunkowych, przechowywania dokumentacji oraz prowadzenia ewidencji i sporządzania raportów w obszarze finansów, podatków oraz ZUS:

https://uodo.gov.pl/pl/138/2450

oraz na Burmistrza Aleksandrowa Kujawskiego za podobne zaniechanie:

https://uodo.gov.pl/pl/138/1240

Jeżeli CUW-y są zainteresowane zleceniem nam funkcji IOD dla podległych placówek, prosimy o kontakt: ,61 8280 921 lub ,[email protected]

Dziękujemy, iż przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.

Dodatkowe informacje:

  • Analiza ryzyka w szkole
  • Audyt KRI w szkole
  • IOD Inspektor Ochrony Danych w oświacie
  • Wszystkie ważne informacje w temacie RODO
Idź do oryginalnego materiału