Kontrola w jednostce budżetowej a przepisy RODO

W odniesieniu do jakichkolwiek kontroli trzeba pamiętać, że tutaj zazwyczaj mamy do czynienia z dwoma odrębnymi rodzajami administrowania danymi osobowymi:

1. administrowanie danymi osobowymi przez kontrolowanego;

2. administrowanie danymi osobowymi przez kontrolującego.

Oba zbiory czynności przetwarzania danych osobowych na siebie nie zachodzą, czyli cel, zakres, podstawy przetwarzania należy badać osobno w odniesieniu do każdego typu administrowania danymi osobowymi.

Zakres uprawnień kontrolera na podstawie ustawy o kontroli w administracji rządowej

W odniesieniu do czynności kontrolnych zazwyczaj stosowne upoważnienie do przetwarzania danych osobowych jest zawarte w przepisach odpowiedniej ustawy – w opisanym przypadku będzie to ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. 2011 r. Nr 185, poz. 1092, z późn. zm.; dalej „u.k.a.rz.”). Zgodnie z art. 22 u.k.a.rz.:

„Art. 22. Kontroler w trakcie przeprowadzania kontroli ma prawo do:

1) swobodnego wstępu i poruszania się po terenie jednostki kontrolowanej bez obowiązku uzyskiwania przepustki;

2) wglądu do dokumentów dotyczących działalności jednostki kontrolowanej, pobierania za pokwitowaniem oraz zabezpieczania dokumentów związanych z zakresem kontroli, z zachowaniem przepisów o tajemnicy prawnie chronionej;

3) sporządzania, a w razie potrzeby żądania sporządzenia niezbędnych do kontroli kopii, odpisów lub wyciągów z dokumentów oraz zestawień lub obliczeń;

4) przetwarzania danych osobowych w zakresie niezbędnym do realizacji celu kontroli;

5) żądania złożenia ustnych lub pisemnych wyjaśnień w sprawach dotyczących zakresu kontroli;

6) swobodnego stosowania środków dowodowych przewidzianych w ustawie”.

Uprawnienia kontrolerów w zakresie przetwarzania danych osobowych

W literaturze podnosi się, że zwłaszcza art. 22 pkt 4 u.k.a.rz. rozwiewają wszelkie wątpliwości co do dopuszczalności przetwarzania danych przez kontrolerów:

„Komentowany przepis usunął wątpliwości związane z uprawnieniem kontrolerów w zakresie przetwarzania danych osobowych. Z natury swojej realizacja kontroli wiąże się z przetwarzaniem danych osobowych. Zawierają je dokumenty, bazy danych i inne zbiory. Przetwarzanie danych osobowych to wszelkie operacje na danych osobowych, takie jak zbieranie, utrwalanie, opracowywanie, udostępnianie – zwłaszcza te, które wykonuje się w systemach informatycznych (por. art. 7 ustawy z 29.08.1997 r. o ochronie danych osobowych, Dz. U. z 2016 r. poz. 922). Ta legalna definicja obejmuje zatem typowe działania występujące w trakcie postępowania kontrolnego. Dlatego też uprawnienie pozwala na prawidłową i profesjonalną realizację zadań kontrolnych. Kontrolerzy mogą jednakże przetwarzać tego rodzaju dane, jeżeli jest to związane z zakresem kontroli i służy osiągnięciu celów kontroli. Przepis art. 22 pkt 4 u.k.a.r. wyraźnie bowiem stanowi, że kontroler ma prawo do przetwarzania danych osobowych, jednakże w zakresie niezbędnym do realizacji celu kontroli. Dlatego też zakres przetwarzanych danych osobowych, w tym w szczególności danych wrażliwych, powinien być określony w programie kontroli.” (T. Bolek, M. Dobruk, Komentarz do art. 22 ustawy o kontroli w administracji rządowej, w: idem, Ustawa o kontroli w administracji rządowej. Komentarz ze wzorami dokumentów, WKP 2018).

„Należy wskazać, że podstawowym celem ustawy o kontroli w administracji rządowej jest zapewnienie sprawnego, rzetelnego wykonywania zadań publicznych nałożonych na organy szeroko rozumianej administracji rządowej. Ma to również doprowadzić do pogłębienia zasady zaufania obywatela do państwa poprzez stworzenie ram dla poprawnego działania administracji publicznej. Nie można przeprowadzić czynności kontrolnych bez dostępu do dokumentów. Jednocześnie nie można stworzyć takich ram funkcjonowania organu, dzięki którym, zasłaniając się koniecznością przestrzegania przepisów ustawy o ochronie danych osobowych, kontroler nie udostępni wnioskowanych dokumentów. Przetwarzanie danych osobowych przez kontrolera w celu przeprowadzenia kontroli jest niezbędne dla wykonania uprawnień i obowiązków przyznanych jednostce kontrolującej na mocy ustawy o kontroli w administracji rządowej i jest dopuszczalne już na mocy przepisu art. 23 ust. 1 u.o.d.o. Regulacja zawarta w u.k.a.rz. jest de facto powtórzeniem uprawnienia zawartego w ustawie o ochronie danych osobowych. Jednakże powtórzenie w niej zawarte, rozwiewa wszelkie wątpliwości dotyczące udostępnienia danych w procesie kontroli. Zawarte w komentowanej ustawie upoważnienie powoduje, że po stronie administratora danych (jednostki kontrolowanej) nie rodzi się obowiązek dokonania oceny, czy udostępnianie danych, które zawsze będzie wiązało się z ich przetwarzaniem, jest rzeczywiście niezbędne do realizacji uprawnienia lub obowiązku wynikającego z przepisu prawa” (K. Lewandowska, T. Lewandowski, Komentarz do art. 22 ustawy o kontroli w administracji rządowej, w: K. Lewandowski, T. Lewandowski, Ustawa o kontroli w administracji rządowej. Komentarz, LexisNexis 2013).

Nie można odmówić kontrolerowi udostępnienia danych osobowych

Jak widać, jednostka kontrolowana nie ma uprawnienia do kontrolowania, czy kontrolerzy są upoważnieni do dokonywania określonych czynności związanych z przetwarzaniem danych osobowych. W szczególności nie może żądać np. przedstawienia upoważnień przez kontrolerów:

„W żadnym przypadku kierownik powiatowej jednostki organizacyjnej nie może odmówić podmiotowi kontrolującemu (upoważnionym przez niego osobom) udostępnienia danych osobowych wyłącznie w oparciu o stwierdzenie braku stosownego upoważnienia do przetwarzania danych osobowych wystawionego przez kontrolowanego, czy nieokazania takiego upoważnienia wystawionego przez podmiot kontrolujący” (G. Ninard, Udzielenie upoważnienia do przetwarzania danych osobowych a udostępnienie akt podmiotowi kontrolującemu, „Nowe Zeszyty Samorządowe”, 2017, nr 6).

Rozważanie, czy kontrolerzy są uprawieni do przetwarzania danych osobowych, mogłoby prowadzić do naruszenia obowiązków wskazanych w innych przepisach:

„Art. 24. Kierownik jednostki kontrolowanej ma obowiązek zapewnienia kontrolerowi warunków niezbędnych do sprawnego przeprowadzenia kontroli, w szczególności przez zapewnienie niezwłocznego przedstawiania żądanych dokumentów, terminowego udzielania ustnych i pisemnych wyjaśnień w sprawach objętych kontrolą, a także udostępnianie niezbędnych urządzeń technicznych i zapewnienie dostępu do Internetu oraz, w miarę możliwości, oddzielnego pomieszczenia z odpowiednim wyposażeniem.”

„Art. 25. Pracownik jednostki kontrolowanej ma obowiązek:

1) niezwłocznego przedstawiania, na żądanie kontrolera, dokumentów, materiałów i informacji niezbędnych do przeprowadzenia kontroli;

2) sporządzenia niezbędnych do przeprowadzenia kontroli kopii, odpisów lub wyciągów z dokumentów, jak również zestawień i obliczeń sporządzonych na podstawie dokumentów; zgodność kopii, odpisów i wyciągów oraz zgodność zestawień i obliczeń z oryginalnymi dokumentami potwierdza kierownik komórki organizacyjnej, w której dokumenty się znajdują;

3) udzielenia kontrolerowi, w wyznaczonym przez niego terminie, ustnych lub pisemnych wyjaśnień.”

Nie można kwestionować czynności kontrolnych polegających na wynoszeniu dokumentów poza obszar przetwarzania

W świetle powyższego odpowiedź na Pańskie pytania brzmi: jak najbardziej. Kierownik jednostki kontrolowanej musi przekazać kontrolerowi wszystkie wymagane dokumenty i nie ma prawa do kwestionowania czynności kontrolnych choćby przez zakazywanie kontrolerowi np. wynoszenia ich poza obszar przetwarzania – jeżeli kontroler zechce je wynieść poza obszar kontrolowany, to we własnym zakresie ponosi odpowiedzialność za ich należyte zabezpieczenie, w szczególności przed zniszczeniem i utratą. Nie widzę tutaj jakiejkolwiek podstawy do pociągnięcia kierownika jednostki kontrolowanej do odpowiedzialności za naruszenie przepisów o ochronie danych osobowych.

Oczywiście, nie uchybia to obowiązkowi kontrolowania, gdzie i kiedy dane osobowe „wychodzą” poza obszar administratora danych osobowych, dlatego pobieranie i zabezpieczanie dokumentów musi odbywać się za pokwitowaniem, natomiast w swoich wewnętrznych dokumentach administrator danych osobowych może odnotowywać, kiedy i po co dane osobowe zostały przekazane, np. na potrzeby kontroli.