Czy zakład będący spółką prawa handlowego, w której 100 % udziałów należy do Gminy, ma obowiązek zgłosić do GIODO zbiór danych osobowych utworzony na potrzeby świadczenia usług dostawy wody i odbioru ścieków w sytuacji gdy na wniosek Burmistrza przekazuje do Gminy dane dotyczące osób podłączonych do sieci kanalizacyjnej i czy wskazana wyżej wymiana informacji traktowana winna być jako przetwarzanie danych wewnątrz spółki i w celu prowadzonej działalności, tj. świadczenia usług dostawy wody i odbioru ścieków, czy też należy uznać, że jest to inny cel lub że jest to już udostępnianie danych na zewnątrz?
Powyższe wątpliwości zrodziły kolejne pytania odnośnie danych wnioskodawców gromadzonych w celu wydania warunków technicznych przyłączenia do sieci, którzy po otrzymaniu warunków nie korzystają z usług zakładu i nie stają się w konsekwencji jego klientami. Wydanie warunków technicznych nie kończy się wystawieniem faktury/ rachunku, gdyż usługa ta jest bezpłatna i może, ale nie musi zakończyć się wnioskiem o przyłączenie do sieci wod-kan i podpisaniem umowy. Należy zapytać czy tym:
- czy dane pozyskane do warunków technicznych, które są sporządzane i zapisane w pliku w komputerze podlegają zgłoszeniu czy też można przechowywać je wyłącznie w formie papierowej, i co w sytuacji gdy wpłynie wniosek o przyłączenie do sieci- czy dane te należy wprowadzić do systemu informatycznego?
- czy jeżeli zakład nie będzie miał obowiązku zgłaszania zbioru danych osobowych, to winien zgłosić ABI skoro administratorem danych jest spółka, a więc powołanie ABI jest niejako wymogiem (powinnością) zapewnienia bezpieczeństwa przetwarzania danych oraz czy obowiązek zgłoszenia zbioru danych osobowych lub jego brak wywołuje skutki w postaci obowiązku bądź dobrowolności zgłoszenia ABI?
Ad. 1
Zakres stosowania ustawy o ochronie danych osobowych (dalej: u.o.d.o.) od strony podmiotowej wytycza przepis art. 3 tej ustawy, z którego wynika, że zakresem stosowania ustawy objęte są wszelkie podmioty dokonujące przetwarzania danych i zaliczone są do nich także komunalne jednostki organizacyjne.
Przepis art. 40 u.o.d.o. wprowadza obowiązek meldunkowy (obowiązek rejestracyjny) zbiorów danych osobowych. Przedmiotem zgłoszenia i rejestracji jest zbiór danych jako taki; nie jest nim ani samo przetwarzanie danych prowadzone na podstawie jednego czy więcej zbiorów, ani zawartość (treść) zbioru. Omawianemu obowiązkowi podlega każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (art. 7 pkt 1 u.o.d.o.).
Wymogowi rejestracji poddane są:
a) zarówno zbiory nastawione na przetwarzanie danych na zewnątrz, jak i na potrzeby własne;
b) zarówno zbiory funkcjonujące w sektorze publicznym, jak i w sektorze prywatnym.
Adresatami normy i obowiązku wyrażonego w art. 40 u.o.d.o. są – z zastrzeżeniem art. 43 ust. 1 u.o.d.o. – wszyscy administratorzy dysponujący zbiorami danych osobowych, a więc wszystkie podmioty decydujące o celach i środkach przetwarzania takich danych, o ile tylko "podlegają reżimowi ustawy" w świetle jej art. 3. Nie muszą to być podmioty wykonujące wszystkie operacje składające się na pojęcie przetwarzania danych. Można uznać, iż obowiązek rejestracyjny spoczywa też na tych, którzy zajmują się jedynie zbieraniem i przechowywaniem danych czy jedynie ich opracowywaniem albo udostępnieniem.
Skoro obowiązek z art. 40 u.o.d.o. dotyczy administratorów danych, kluczowego znaczenia nabiera interpretacja pojęcia "administrator danych" w świetle definicji z art. 7 pkt 4 u.o.d.o. Oznacza to np., iż jeżeli podmiot, który jedynie zbiera i przechowuje dane, decyduje również o celach i środkach dla ich przetwarzania, wówczas ma on status administratora danych łącznie z wszystkimi płynącymi z tego faktu obowiązkami. Należy także podkreślić, że w odniesieniu do rozmaitych pól eksploatacji zbioru danych działać mogą niezależnie różni administratorzy. Zatem zakład jako spółka komunalna (jednostka organizacyjna gminy w szerokim znaczeniu) ma obowiązek zgłosić do GIODO zbiór danych osobowych utworzony na potrzeby świadczenia usług dostawy wody i odbioru ścieków.
Ad. 2
Pojęcie administratora danych zdefiniowane zostało w art. 7 pkt 4 u.o.d.o. Zgodnie z tym przepisem jest to organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych. Administratorem takich danych jest spółka z ograniczoną odpowiedzialnością, tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze. Zatem należy zakwalifikować przekazywanie danych przez zakład do Gminy (Urzędu Miasta) na wniosek Burmistrza jako udostępnianie danych na zewnątrz.
Ad.3.
Zgodnie z art. 43 u.o.d.o. ust. 1 pkt. 12 z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych. Poza zakresem działania przepisów u.o.d.o. pozostawione są natomiast takie akta, które nie mają żadnego strukturalnego układu danych osobowych. Trzeba przy tym pamiętać, iż za przetwarzanie danych uznawane jest samo ich utrwalanie lub przechowywanie.
Ad.4.
Wyznaczenie „administratora bezpieczeństwa informacji” jest fakultatywne. W przypadku niepowołania ABI, czynności jemu przypisane wykonuje administrator danych osobowych.
Główny Specjalista ds. Prawnych – r. pr. Magdalena Borowczyk – Zalewska