Temat: Polityka bezpieczeństwa raz jeszcze-DYLEMAT
Dziękuję serdeczne za odpowiedź :-) Precyzując to o co Pan pyta.. Jestem w posiadaniu pisemka MRiRW skierowanego do Urzędu Marszałkowskiego Województwa Pomorskiego dotyczącego ustalenia administratora danych osobowych przetwarzanych w lokalnych grupach działania (stowarzyszenie, o którym pisałam w pierwszym poście to właśnie lokalna grupa działania). Poniżej kluczowe fragmenty, proszę zerknąć... Być może źle je interpretuję.
"Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, każdy administrator danych jest zobowiązany do zgłoszenia do GIODO zbioru danych. Kwestią budzącą wątpliwość staje się ustalenie, któremu z podmiotów uczestniczących w realizacji PROW na lata 2007-2013 należy przypisać status ADO. Czy są to lokalne grupy działania, czy może administratorem danych dla działań delegowanych do Samorządów Województwa w ramach PROW jest Minister Rolnictwa i Rozwoju Wsi lub Samorząd Województwa? (...)
Opinia MRiRW: W pierwszej kolejności należy zauważyć, ze zgodnie z definicją zawartą w art.7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz.926, z późn. zm) za administratora danych uważa się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 tej ustawy, decydujące o celach i środkach przetwarzania danych osobowych.
Zgodnie ze stanowiskiem wyrażonym przez NSA w wyroku z dnia 8 września 2009 r., sygn. akt I OSK 1378/08 (opubl.CBOSA) administratorem danych osobowych jest jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Przywołany wyżej przepis w swej treści posługuje się pojęciem "przetwarzania danych osobowych", a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż "cele" i "środki" należy zawsze odnosić do procesu przetwarzania danych osobowych. W świetle art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zestawiając chronologicznie opisane czynności, przetwarzanie danych osobowych zaczynać się będzie od etapu ich pozyskiwania (zbierania) i przebiegać poprzez utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, kończąc zaś na etapie usunięcia danych.
Na gruncie ustawy z dnia 7 marca 2007 r. o wspieraniu rozwoju obszarów wiejskich (...)(Dz.U.Nr 64, poz. 427, z późń. zm.) działanie "Wdrażanie lokalnych strategii rozwoju" w ramach Programu Rozwoju Obszarów Wiejskich na lata 2007-2013 jest realizowane przez Ministra Rolnictwa i Rozwoju Wsi jako instytucję zarządzającą (art.6 ust.1 tej ustawy) i samorządy województw jako podmioty wdrażające(art. 6 ust.1 tej ustawy). Zgodnie z art.7 ust.3 pkt 1 ww. ustawy z dnia 7 marca 2007 r. podmioty wdrażające pozyskują, gromadzą i opracowują dane związane z wykonywaniem przez nie zadań instytucji zarządzającej.
Z kolei zgodnie z treścią art.31 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Wynika z tego, że zleceniobiorcą danych może być podmiot, któremu -na podstawie pisemnej umowy -powierzono przetwarzanie danych, czyli powierzono pewnie zbiór danych w ściśle określonym celu i zakresie. Zatem aby można było mówić o powierzeniu przetwarzania danych musi istnieć już pewnie zbiór tych danych, który może być takiemu podmiotowi powierzony. Natomiast jeśli proces przetwarzania danych os. rozpoczyna się w momencie ich pozyskiwania, to instytucja zarządzająca ( MRiRW) nie decyduje o celach i środkach przetwarzania danych osobowych, albowiem danych takich (a tym bardziej zbioru danych) po prostu nie ma. Nie jest zatem administratorem danych osobowych, które zebrał (pozyskał) podmiot wdrażający program, a więc decydujący o celach i środkach wszelkich operacji dotyczących danych osobowych. W takim przypadku celem przetwarzania danych jest realizacja obowiązku wykonywania zadań podmiotu wdrażającego nałożonego przez przepisy ww. ustawy z dnia 7 marca 2007 r. Uznać bowiem należy, że w sytuacji gdy cele i środki przetwarzania danych osobowych wynikają z powszechnie obowiązujących przepisów prawa administratorem danych będzie ten podmiot, który decydując o celu przetwarzania danych będzie konkretyzował jego zakres aby odpowiadał on potrzebom bardziej szczegółowo określonego zadania publicznego. Skoro zatem to samorząd województwa jest na podstawie art.7 ust.3 ww. ustawy z dnia 7 marca 2007 r. obowiązany do pozyskiwania, gromadzenia i opracowywania danych co jest związane z wykonywaniem zadań instytucji zarządzającej to decyduje również o celach przetwarzania danych. jest zatem ich administratorem w rozumieniu art.7 pkt 4 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Podobna sytuacja występuje w odniesieniu do działalności lokalnych grup działania. LGD dokonują wyboru operacji, na które przyznawana jest pomoc w ramach przedmiotowego działania( art.12 ust.1 ww. ustawy z dnia 7 marca 2007 r). Zaznaczyć należy, że realizacja lokalnej strategii rozwoju przez LGD odbywa się na podstawie umowy zawieranej między samorządem województwa, a LGD określającej warunki i sposób realizacji tej strategii (art.14 ust.3 tej ustawy). Z kolei procedura wyboru projektów operacji w ramach przedmiotowego działania określona została w przepisach rozporządzenia Ministra Rolnictwa i Rozwoju Wsi z dnia 8 lipca 2008 r. w sprawie szczegółowych warunków i trybu przyznawania oraz wypłaty pomocy finansowej w ramach działania "Wdrażanie lokalnych strategii rozwoju" objętego PROW na lata 2007-2013 (Dz.U. Nr 138,poz. 868 ze zm.). Niewątpliwie realizacja prze LGD tych obowiązków, musi wiązać się z przetwarzaniem danych osobowych, w szczególności ich pozyskiwaniem i utrwaleniem. Albowiem to LGD decydują o celu przetwarzania tych danych (realizacji umów zawieranych z samorządami) jak i środkach ich przetwarzania. W konsekwencji uznać należy, że zarówno SW jak i LGD są administratorami danych, albowiem przetwarzając je decydują samodzielnie o celu i środkach ich przetwarzania. Przy czym dla pierwszych celem jest realizacja obowiązków nałożonych ustawą, zaś dla drugich realizacja zawartych umów."