Niektórych działań samorządowe jednostki organizacyjne nie wykonują same, ale zlecają na zewnątrz w formie outsourcingu. W samorządach często dochodzi do zawiązania Centrum Usług Wspólnych, kiedy jedna jednostka wykonuje pewne zadania dla kilku jednostek wspólnie, co znajduje oparcie w artykułach od 10a do 10d ustawy o samorządzie gminnym i analogicznych przepisach zawartych w ustawie o samorządzie powiatowym i samorządzie województwa. Powstaje wtedy jednostka obsługująca JST, a najczęściej ta obsługa dotyczy administracji, finansów, księgowości, kadr, inwestycji.
- Jest z tym związane przetwarzanie danych osobowych, nie sposób przecież realizować zadań z tego zakresu bez korzystania z danych osobowych – podkreśliła dr Marlena Sakowska-Baryła. Dodała, że w każdej z ustaw samorządowych mowa jest o przetwarzaniu danych osobowych przez jednostkę obsługującą, które dokonywane jest na rzecz jednostek obsługiwanych. Jak dodała ekspertka, biorąc pod uwagę art. 28 ogólnego rozporządzenia o ochronie danych (RODO) nie wydaje się, by w konkretnych przypadkach to przetwarzanie w ramach outsourcingu można było oprzeć wyłącznie na postanowieniach zawartych w art. 10d ustawy o samorządzie gminnym i odpowiadających mu przepisach w pozostałych ustawach samorządowych.
Ekspertka tłumaczy, że Centrum Usług Wspólnych nie staje się administratorem danych. Jako przykład wskazuje CUW-y oświatowe, gdzie przez fakt dokonywania rozliczeń np. dotyczących wynagrodzeń nauczycieli, administratorem takich danych nie staje się centrum, ale nadal pozostaje nim szkoła.
- Zgodnie z art. 31 ustawy o ochronie danych osobowych i art. 28 RODO, administratorem będzie jednostka obsługiwana, a CUW podmiotem przetwarzającym w rozumieniu tego ostatniego aktu - zaznaczyła dr Marlena Sakowska-Baryła.
Według niej do tej pory rzadko występowała sytuacja, w której podmioty kreujące CUW brały pod uwagę, że konieczne będzie dookreślenie relacji w zakresie przetwarzania danych osobowych pomiędzy jednostką obsługującą a obsługiwaną. Ekspertka zauważa, że należy ten stan doprowadzić do zgodnego z rozporządzeniem o ochronie danych.
- Należy albo znowelizować uchwały zawiązujące CUW i wprowadzić do nich odpowiednie postanowienia uwzględniające treść art. 28 ust. 3 RODO, albo zawrzeć porozumienia pomiędzy jednostką obsługującą i obsługiwaną – sugeruje. Warto m.in. doprecyzować niektóre aspekty wzajemnych relacji, np. związane z prawem administratora do przeprowadzania audytów, zasadami zabezpieczenia danych osobowych, współpracy w razie incydentów, itp.
Należy także zastanowić się nad sposobami komunikacji między podmiotami. – Jeśli np. do CUW zgłosi się ktoś niezadowolony z tego, jak przetwarzane są jego dane osobowe, dobrze jest wiedzieć, jak układają się relacje między jednostkami, jakich działań powinien oczekiwać administrator od podmiotu przetwarzającego, bo to ten pierwszy odpowiada za przetwarzanie danych osobowych niezależnie od tego, kto go dokonuje – wyjaśniła ekspertka.
Jej zdaniem problemy te powinien rozwiązać podmiot, który kreuje Centrum Usług Wspólnych. Ekspertka radzi też, że w porozumieniu pomiędzy podmiotami zlecającymi a podmiotem realizującym powinny być określone sposoby udokumentowania wzajemnych relacji i okoliczności istotnych z punktu widzenia przetwarzania danych osobowych
Unijne ogólne rozporządzenie o ochronie danych w polskim porządku prawnym będzie stosowane bezpośrednio od 25 maja 2018 r. Wprowadza jednolite dla wszystkich państw Unii Europejskiej przepisy dotyczące przetwarzania danych osobowych. Od tej daty administratorzy w szerszym niż dotąd zakresie będą odpowiedzialni za zgodne z prawem przetwarzanie danych osobowych.