Mamy 11 498 opinii naszych Klientów
Zadaj pytanie » Zadaj pytanie »

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Kontrola w jednostce budżetowej a przepisy RODO

Autor: Monika Wycykał • Opublikowane: 19.02.2020

W Miejskim Ośrodku Pomocy Społecznej trwa kontrola z urzędu wojewódzkiego. Mam pewne wątpliwości co do tej sytuacji w kontekście przepisów RODO. Czy kontrolerzy urzędu wojewódzkiego mają prawo – działając na podstawie art. 22 pkt 2) ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rządowej – 1. wynoszenia za pokwitowaniem oryginałów dokumentów poza obszar przetwarzania administratora, czyli poza siedzibę MOPS? 2. wynoszenia poza obszar przetwarzania ADO kopii, odpisów lub wyciągów z dokumentów oraz zestawień lub obliczeń? Jeśli tak, czy w związku z pkt 3) art. 22 mają obowiązek pokwitować wynoszenie kopii dokumentów?


Masz podobny problem? Kliknij tutaj i zadaj pytanie.

Kontrola w jednostce budżetowej a przepisy RODO

Fot. Fotolia

W odniesieniu do jakichkolwiek kontroli trzeba pamiętać, że tutaj zazwyczaj mamy do czynienia z dwoma odrębnymi rodzajami administrowania danymi osobowymi:

 

1. administrowanie danymi osobowymi przez kontrolowanego;

2. administrowanie danymi osobowymi przez kontrolującego.

 

Oba zbiory czynności przetwarzania danych osobowych na siebie nie zachodzą, czyli cel, zakres, podstawy przetwarzania należy badać osobno w odniesieniu do każdego typu administrowania danymi osobowymi.

 

Zakres uprawnień kontrolera na podstawie ustawy o kontroli w administracji rządowej

W odniesieniu do czynności kontrolnych zazwyczaj stosowne upoważnienie do przetwarzania danych osobowych jest zawarte w przepisach odpowiedniej ustawy – w opisanym przypadku będzie to ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. 2011 r. Nr 185, poz. 1092, z późn. zm.; dalej „u.k.a.rz.”). Zgodnie z art. 22 u.k.a.rz.:

 

„Art. 22. Kontroler w trakcie przeprowadzania kontroli ma prawo do:

1) swobodnego wstępu i poruszania się po terenie jednostki kontrolowanej bez obowiązku uzyskiwania przepustki;

2) wglądu do dokumentów dotyczących działalności jednostki kontrolowanej, pobierania za pokwitowaniem oraz zabezpieczania dokumentów związanych z zakresem kontroli, z zachowaniem przepisów o tajemnicy prawnie chronionej;

3) sporządzania, a w razie potrzeby żądania sporządzenia niezbędnych do kontroli kopii, odpisów lub wyciągów z dokumentów oraz zestawień lub obliczeń;

4) przetwarzania danych osobowych w zakresie niezbędnym do realizacji celu kontroli;

5) żądania złożenia ustnych lub pisemnych wyjaśnień w sprawach dotyczących zakresu kontroli;

6) swobodnego stosowania środków dowodowych przewidzianych w ustawie”.

 

Uprawnienia kontrolerów w zakresie przetwarzania danych osobowych

W literaturze podnosi się, że zwłaszcza art. 22 pkt 4 u.k.a.rz. rozwiewają wszelkie wątpliwości co do dopuszczalności przetwarzania danych przez kontrolerów:

 

„Komentowany przepis usunął wątpliwości związane z uprawnieniem kontrolerów w zakresie przetwarzania danych osobowych. Z natury swojej realizacja kontroli wiąże się z przetwarzaniem danych osobowych. Zawierają je dokumenty, bazy danych i inne zbiory. Przetwarzanie danych osobowych to wszelkie operacje na danych osobowych, takie jak zbieranie, utrwalanie, opracowywanie, udostępnianie – zwłaszcza te, które wykonuje się w systemach informatycznych (por. art. 7 ustawy z 29.08.1997 r. o ochronie danych osobowych, Dz. U. z 2016 r. poz. 922). Ta legalna definicja obejmuje zatem typowe działania występujące w trakcie postępowania kontrolnego. Dlatego też uprawnienie pozwala na prawidłową i profesjonalną realizację zadań kontrolnych. Kontrolerzy mogą jednakże przetwarzać tego rodzaju dane, jeżeli jest to związane z zakresem kontroli i służy osiągnięciu celów kontroli. Przepis art. 22 pkt 4 u.k.a.r. wyraźnie bowiem stanowi, że kontroler ma prawo do przetwarzania danych osobowych, jednakże w zakresie niezbędnym do realizacji celu kontroli. Dlatego też zakres przetwarzanych danych osobowych, w tym w szczególności danych wrażliwych, powinien być określony w programie kontroli.” (T. Bolek, M. Dobruk, Komentarz do art. 22 ustawy o kontroli w administracji rządowej, w: idem, Ustawa o kontroli w administracji rządowej. Komentarz ze wzorami dokumentów, WKP 2018).

 

„Należy wskazać, że podstawowym celem ustawy o kontroli w administracji rządowej jest zapewnienie sprawnego, rzetelnego wykonywania zadań publicznych nałożonych na organy szeroko rozumianej administracji rządowej. Ma to również doprowadzić do pogłębienia zasady zaufania obywatela do państwa poprzez stworzenie ram dla poprawnego działania administracji publicznej. Nie można przeprowadzić czynności kontrolnych bez dostępu do dokumentów. Jednocześnie nie można stworzyć takich ram funkcjonowania organu, dzięki którym, zasłaniając się koniecznością przestrzegania przepisów ustawy o ochronie danych osobowych, kontroler nie udostępni wnioskowanych dokumentów. Przetwarzanie danych osobowych przez kontrolera w celu przeprowadzenia kontroli jest niezbędne dla wykonania uprawnień i obowiązków przyznanych jednostce kontrolującej na mocy ustawy o kontroli w administracji rządowej i jest dopuszczalne już na mocy przepisu art. 23 ust. 1 u.o.d.o. Regulacja zawarta w u.k.a.rz. jest de facto powtórzeniem uprawnienia zawartego w ustawie o ochronie danych osobowych. Jednakże powtórzenie w niej zawarte, rozwiewa wszelkie wątpliwości dotyczące udostępnienia danych w procesie kontroli. Zawarte w komentowanej ustawie upoważnienie powoduje, że po stronie administratora danych (jednostki kontrolowanej) nie rodzi się obowiązek dokonania oceny, czy udostępnianie danych, które zawsze będzie wiązało się z ich przetwarzaniem, jest rzeczywiście niezbędne do realizacji uprawnienia lub obowiązku wynikającego z przepisu prawa” (K. Lewandowska, T. Lewandowski, Komentarz do art. 22 ustawy o kontroli w administracji rządowej, w: K. Lewandowski, T. Lewandowski, Ustawa o kontroli w administracji rządowej. Komentarz, LexisNexis 2013).

 

Nie można odmówić kontrolerowi udostępnienia danych osobowych

Jak widać, jednostka kontrolowana nie ma uprawnienia do kontrolowania, czy kontrolerzy są upoważnieni do dokonywania określonych czynności związanych z przetwarzaniem danych osobowych. W szczególności nie może żądać np. przedstawienia upoważnień przez kontrolerów:

 

„W żadnym przypadku kierownik powiatowej jednostki organizacyjnej nie może odmówić podmiotowi kontrolującemu (upoważnionym przez niego osobom) udostępnienia danych osobowych wyłącznie w oparciu o stwierdzenie braku stosownego upoważnienia do przetwarzania danych osobowych wystawionego przez kontrolowanego, czy nieokazania takiego upoważnienia wystawionego przez podmiot kontrolujący” (G. Ninard, Udzielenie upoważnienia do przetwarzania danych osobowych a udostępnienie akt podmiotowi kontrolującemu, „Nowe Zeszyty Samorządowe”, 2017, nr 6).

 

Rozważanie, czy kontrolerzy są uprawieni do przetwarzania danych osobowych, mogłoby prowadzić do naruszenia obowiązków wskazanych w innych przepisach:

 

„Art. 24. Kierownik jednostki kontrolowanej ma obowiązek zapewnienia kontrolerowi warunków niezbędnych do sprawnego przeprowadzenia kontroli, w szczególności przez zapewnienie niezwłocznego przedstawiania żądanych dokumentów, terminowego udzielania ustnych i pisemnych wyjaśnień w sprawach objętych kontrolą, a także udostępnianie niezbędnych urządzeń technicznych i zapewnienie dostępu do Internetu oraz, w miarę możliwości, oddzielnego pomieszczenia z odpowiednim wyposażeniem.”

 

„Art. 25. Pracownik jednostki kontrolowanej ma obowiązek:

1) niezwłocznego przedstawiania, na żądanie kontrolera, dokumentów, materiałów i informacji niezbędnych do przeprowadzenia kontroli;

2) sporządzenia niezbędnych do przeprowadzenia kontroli kopii, odpisów lub wyciągów z dokumentów, jak również zestawień i obliczeń sporządzonych na podstawie dokumentów; zgodność kopii, odpisów i wyciągów oraz zgodność zestawień i obliczeń z oryginalnymi dokumentami potwierdza kierownik komórki organizacyjnej, w której dokumenty się znajdują;

3) udzielenia kontrolerowi, w wyznaczonym przez niego terminie, ustnych lub pisemnych wyjaśnień.”

 

Nie można kwestionować czynności kontrolnych polegających na wynoszeniu dokumentów poza obszar przetwarzania

W świetle powyższego odpowiedź na Pańskie pytania brzmi: jak najbardziej. Kierownik jednostki kontrolowanej musi przekazać kontrolerowi wszystkie wymagane dokumenty i nie ma prawa do kwestionowania czynności kontrolnych choćby przez zakazywanie kontrolerowi np. wynoszenia ich poza obszar przetwarzania – jeżeli kontroler zechce je wynieść poza obszar kontrolowany, to we własnym zakresie ponosi odpowiedzialność za ich należyte zabezpieczenie, w szczególności przed zniszczeniem i utratą. Nie widzę tutaj jakiejkolwiek podstawy do pociągnięcia kierownika jednostki kontrolowanej do odpowiedzialności za naruszenie przepisów o ochronie danych osobowych.

 

Oczywiście, nie uchybia to obowiązkowi kontrolowania, gdzie i kiedy dane osobowe „wychodzą” poza obszar administratora danych osobowych, dlatego pobieranie i zabezpieczanie dokumentów musi odbywać się za pokwitowaniem, natomiast w swoich wewnętrznych dokumentach administrator danych osobowych może odnotowywać, kiedy i po co dane osobowe zostały przekazane, np. na potrzeby kontroli.

 

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>

 

Komentarze (0):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • jeden - VI =

»Podobne materiały

Robienie żartów przez telefon a odpowiedzialność prawna

Jestem youtuberem. Jak się ma nasze prawo do robienia żartów przez telefon? Mam na myśli dzwonienie np. do hotelu ze śmiesznym pytaniem lub do osób oferujących przedmioty na olx. Nikomu przy tym nie ubliżam, nie grożę itd. Na koniec rozmowy, jeśli zdążę, mówię „zostałeś wkręcony”. Czy kt

 

Upublicznienie protokołu Państwowej Inspekcji Pracy z kontroli firmy

Mam pytanie odnośnie prawidłowego stosowania przepisów RODO. Osoba trzecia udostępniła na portalu internetowym protokół Państwowej Inspekcji Pracy z kontroli firmy. Czy jest to zgodne z prawem? W upublicznionym protokole widnieje imię i nazwisko oraz podpis pracodawcy (właściciela). Czy złamana zost

 

Upublicznienie danych zgłaszającego zakłócanie ciszy nocnej

Na forum lokatorskim zostało upublicznione moje dane, imię i nazwisko wraz z informacją, że zgłosiłem na policję zakłócanie ciszy nocnej. Czy takie działania policji i umieszczenie moich danych jest zgodne z prawem? Czy zgłoszenie zakłócenia ciszy nocnej może być anonimowe?

 

Robienie żartów przez telefon a odpowiedzialność prawna

Jestem youtuberem. Jak się ma nasze prawo do robienia żartów przez telefon? Mam na myśli dzwonienie np. do hotelu ze śmiesznym pytaniem lub do osób oferujących przedmioty na olx. Nikomu przy tym nie ubliżam, nie grożę itd. Na koniec rozmowy, jeśli zdążę, mówię „zostałeś wkręcony”. Czy kt

 

Przekazywanie danych klientów firmom bez ich zgody

Mam plan na swoją firmę, ale nie wiem, czy będzie to legalne, dlatego chciałbym uzyskać poradę. Chciałbym pozyskiwać klientów dla różnych firm, uzyskując dane klientów z różnych stron i portali społecznościowych i przekazywać te dane zainteresowanym firmom. Czy gdy osoba na portalu społecznościowym

 

Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
Szukamy ambitnego prawnika »