RODO nie pomogło w określeniu, kto jest administratorem danych osobowych w administracji publicznej.
Mogłoby się wydawać, że nie ma nic prostszego od ustalenia, kto jest administratorem danych w urzędzie. Tymczasem może być ich wielu – w zależności od celów i sposobów przetwarzania. Prosty przykład – na poziomie powiatu administratorem może być powiat, jego zarząd, rada, starostwo i wreszcie sam starosta. Uczestnicy czwartkowej konferencji zorganizowanej przez Wydział Prawa i Administracji Uniwersytetu Łódzkiego zgodzili się, że ta mnogość bytu nie służy ochronie danych.
– Po ponad 20 latach wciąż mamy problem z określeniem, wydawałoby się najprostszej rzeczy – kto jest administratorem danych. Jak wskazano na konferencji, RODO w tym nam nie pomogło – podsumowuje organizatorka konferencji dr Edyta Bielak-Jomaa z WPiA UŁ, była prezes UODO.
– Nie mam gotowej recepty na rozwiązanie tego problemu. Wydaje mi się jednak, że konieczna jest interwencja ustawodawcy i dookreślenie tego w przepisach sektorowych. Nie poprzez proste wskazanie administratora, bo praktyka pokazuje, że tak się po prostu nie da, tylko bardziej poprzez zadania i cele przetwarzania danych – dodaje.
Podczas konferencji wskazano m.in. przykład Urzędu Ochrony Danych Osobowych. Dla większości spraw administratorem jest jego prezes, ale w przypadku danych pracowniczych już sam urząd. Tego typu sytuacje można spotkać na każdym kroku. Problemy, jakie z tego powodu mogą wyniknąć, mogą zaś być poważne. I nie chodzi tu tylko o marnowanie energii, niepotrzebne koszty czy dublowanie tej samej pracy. Osoba, która chciałaby dochodzić swych praw, nie wie, do kogo ma się zwrócić. Paradoksalnie więc przepisy mające chronić dane osobowe komplikują tę ochronę.
Zgodnie z definicją RODO administratorem jest podmiot, który ustala cele i sposoby przetwarzania danych. To podobna konstrukcja do tej, jaka funkcjonowała za poprzednich przepisów.
– Już w 1999 r. zajęto stanowisko, które do dziś akceptuje prezes UODO, że o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem, decydują rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Oznacza to, że zawsze sięgamy do przepisów prawa, które przyznają określone kompetencje konkretnym organom czy podmiotom, a z tymi kompetencjami związane jest przetwarzanie danych osobowych – zauważa dr hab. Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.
– Jednak, moim zdaniem, równolegle do ustalania statusu administratora powinno być wykorzystywane podejście funkcjonalne, w którym badamy, kto jest faktycznym decydentem w konkretnych okolicznościach przetwarzania danych. Uchroni nas to od nieżyciowych interpretacji definicji, w których w tym samym urzędzie administracji publicznej i jego infrastrukturze odrębnymi administratorami są sam urząd oraz organ kierujący urzędem – przekonuje.
Nieco inny problem, choć również związany z mnogością administratorów, poruszył podczas konferencji dr Wojciech Wiewiórowski, europejski inspektor ochrony danych. Coraz częściej zdarza się, że sam administrator ma niewielki wpływ na narzędzia wykorzystywane do przetwarzania danych. Świetnie pokazuje to przykład usług chmurowych, jakie Komisja Europejska wykupiła w Microsofcie. Narzędzie to zostało narzucone wszystkim instytucjom i agencjom unijnym, w tym również EIOD. Organ ten wszczął postępowanie sprawdzające poprawność ochrony danych.
– W pewnym sensie prowadziłem więc postępowanie wobec samego siebie, gdyż sam korzystam z tych rozwiązań chmurowych, choć nie miałem żadnego wpływu na ich wybór ani na umowę z Microsoftem – zauważył dr Wojciech Wiewiórowski.
Postępowanie EIOD pokazało sporo nieprawidłowości związanych z używaniem wspomnianych narzędzi chmurowych. Okazało się chociażby, że Microsoft może w sposób dowolny, jednostronnie zmieniać kontrakt, z czego zresztą regularnie korzystał. Umowa ograniczała obowiązki związane z ochroną danych, nie gwarantowała audytu bezpieczeństwa, a same oprogramowanie śledziło ruch użytkowników.