Temat: umowa powierzenia przetwarzania w szkołach

Mam taki dylemat. W gminie jest kilka szkół. Księgowa pracująca na etacie w jednej z nich, bez żadnej umowy i wynagrodzenia (społecznie) prowadzi Kasę Zapomogowo-Pożyczkową dla nauczycieli i pracowników oświaty ze wszystkich szkół na terenie tej Gminy. Ma zatem dostęp do danych pracowników oświaty nie tylko swojej szkoły ale wszystkich pozostałych. Powinna więc posiadać co najmniej upoważnienie do przetwarzania (choć moim zdaniem bardziej umowę o powierzenie przetwarzania). Tylko teraz dylemat - kto powinien podpisać umowę powierzenia? Dyrektor każdej z tych szkół? No i dodatkowo - będzie to umowa powierzenia przetwarzania bez jakiejkolwiek innej podstawy (typu umowa zlecenie na czynności związane z KZP), no bo przecież robi to społecznie.
A może jest jakieś inne wyjście, którego aktualnie nie widzę?

Temat: umowa powierzenia przetwarzania w szkołach

A kasa jest w każdej szkole odrębna?

Temat: umowa powierzenia przetwarzania w szkołach

Tak. W każdej szkole jest odrębny budżet i odrębna księgowość.

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:
Księgowa pracująca na etacie w jednej z nich, bez żadnej umowy i wynagrodzenia (społecznie)

Nie społecznie, ale w ramach swojego etatu pewnie. Dostała polecenie służbowe, to wykonuje.

prowadzi Kasę Zapomogowo-Pożyczkową

Prowadzi czyli co konkretnie wykonuje? Skąd ma dane pracowników innych szkół? Jak je zbiera i w jaki sposób?

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:

wynagrodzenia (społecznie) prowadzi Kasę Zapomogowo-Pożyczkową dla nauczycieli i pracowników oświaty ze wszystkich szkół na terenie tej Gminy.

Precyzyjnie. Jedna kasa, czy wiele kas?

Temat: umowa powierzenia przetwarzania w szkołach

Faktycznie. Źle się wyraziłem. Kasa jest jedna i obsługuje pracowników oświaty z całej gminy. Prowadzi ją społecznie księgowa jednej ze szkół - nie ma tego w swoim zakresie czynności.
Pracownicy składają deklaracje przynależności do KZP i na tej podstawie księgowość w każdej ze szkół potrąca im składki odprowadzane na konto Kasy.
Wyczytałem, że KZP powstają i istnieją na podstawie ustawy o związkach zawodowych i Rozporządzenia RM w sprawie KZP. Tak więc z tego by wynikało, że jest to podmiot niezależny od szkoły, posiadający zarząd i będący ADO swoich członków - i to właśnie on powinien zawrzeć umowę powierzenia przetwarzania ze szkołami, jako podmiotami przetwarzającymi dane.
Dobrze rozumuję?

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:
Faktycznie. Źle się wyraziłem. Kasa jest jedna i obsługuje pracowników oświaty z całej gminy. Prowadzi ją społecznie księgowa jednej ze szkół - nie ma tego w swoim zakresie czynności.
Pracownicy składają deklaracje przynależności do KZP i na tej podstawie księgowość w każdej ze szkół potrąca im składki odprowadzane na konto Kasy.
Wyczytałem, że KZP powstają i istnieją na podstawie ustawy o związkach zawodowych i Rozporządzenia RM w sprawie KZP. Tak więc z tego by wynikało, że jest to podmiot niezależny od szkoły, posiadający zarząd i będący ADO swoich członków - i to właśnie on powinien zawrzeć umowę powierzenia przetwarzania ze szkołami, jako podmiotami przetwarzającymi dane.
Dobrze rozumuję?

Bardzo dobrze. Sięgnąłeś do źródła - czyli przeanalizowałeś podstawę prawną istnienia tego tworu.
Ale żeby nie było tak łatwo, to sprawdź jakie są obowiązki pracodawcy z tym związane (a są wyraźnie ujęte).

Temat: umowa powierzenia przetwarzania w szkołach

Łał. Faktycznie. Dzięki. No tylko że dalej pozostaje (przynajmniej dla mnie) kwestia - kto tu jest administratorem a kto podmiotem przetwarzającym. I czy oprócz umowy pracodawca - KZP potrzebna jest dodatkowo umowa powierzenia przetwarzania.

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:
Pracownicy składają deklaracje przynależności do KZP i na tej podstawie księgowość w każdej ze szkół potrąca im składki

Nie sądzisz, że to powinno być za mało dla księgowej? Kasa przysyła kwoty do potrącenia, najczęściej mailem (niska świadomość po obu stronach). Skąd księgowa wie, że mail nie został sfałszowany? A jeśli nawet nie został, skąd księgowa wie, że osoba, której podpis tam widnieje, jest upoważniona do wytworzenia tej informacji i wyliczone przez nią kwoty można uznać za wiarygodne, autoryzowane i będące podstawą do przelewu?

Wyczytałem, że KZP powstają i istnieją na podstawie ustawy o związkach zawodowych i Rozporządzenia RM w sprawie KZP. Tak więc z tego by wynikało, że jest to podmiot niezależny od szkoły, posiadający zarząd i będący ADO swoich członków - i to właśnie on powinien zawrzeć umowę powierzenia przetwarzania ze szkołami, jako podmiotami przetwarzającymi dane.
Dobrze rozumuję?

Ja bym to zrobił inaczej. Wspólna kasa powoływana jest pewnie na mocy jakiegoś porozumienia pracodawców, w którym ustala się, kto z sygnatariuszy tego porozumienia będzie prowadził te sprawy (data processor). I na tym etapie każdy z pracodawców powinien z tym procesorem zawrzeć umowę powierzenia. To przy założeniu, że administratorem danych nie jest kasa, lecz zakład, w którym kasa działa. W takich sprawach dotychczasowe rozstrzygnięcia GIODO były niejednoznaczne. W przypadku gminnych zespołów interdyscyplinarnych ds. przeciwdziałania przemocy w rodzinie GIODO za administratora danych uznawał OPS, który ma ten zespół obsługiwać i powoływać jego członków. W przypadku gminnych komisji ds. rozwiązywania problemów alkoholowych za administratora GIODO uznawał gminę, w której komisja działa. Tu może być analogicznie i administratorem danych może nie być kasa, lecz pracodawca, bo to on zgodnie z tym śmiesznym rozporządzeniem sprzed lat ma zapewnić obsługę tej kasy i warunki do jej funkcjonowania.

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:
Łał. Faktycznie. Dzięki. No tylko że dalej pozostaje (przynajmniej dla mnie) kwestia - kto tu jest administratorem a kto podmiotem przetwarzającym. I czy oprócz umowy pracodawca - KZP potrzebna jest dodatkowo umowa powierzenia przetwarzania.

Jeśli masz wątpliwości, to sięgnij ponownie do źródeł. Czyli: legalna definicja ADO i jak to się odnosi do tego przypadku. Czy pracodawca decyduje o przyznaniu członkowi KZP świadczenia? A może to KZP o tym samodzielnie decyduje (zobacz w przepisach).
Czy pracodawca spełnia przesłanki podmiotu przetwarzającego? Jakie są obowiązki pracodawcy i w jakiej formie ujęte (to też tam znajdziesz)?

Temat: umowa powierzenia przetwarzania w szkołach

Radosław Z.:

Czyli: legalna definicja ADO i jak to się odnosi do tego przypadku. Czy pracodawca decyduje o przyznaniu członkowi KZP świadczenia? A może to KZP o tym samodzielnie decyduje (zobacz w przepisach).
Czy pracodawca spełnia przesłanki podmiotu przetwarzającego? Jakie są obowiązki pracodawcy i w jakiej formie ujęte (to też tam znajdziesz)?

O przyznaniu świadczenia decyduje samodzielnie zarząd kasy i to kasa decyduje o celach sposobach przetwarzania - a pracodawcy nic do tego. Więc jest ADO. Ale z drugiej strony, środki techniczne i organizacyjne z art. 24 ust. 1 RODO, które powinien wdrożyć ADO, wdrażane są w rzeczywistości przez oddzielne szkoły. Ale ok - one mogą to robić przecież na podstawie art. 28 ust.1. Czyli KZP to ADO a szkoły to podmioty przetwarzające.

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:
O przyznaniu świadczenia decyduje samodzielnie zarząd kasy i to kasa decyduje o celach sposobach przetwarzania - a pracodawcy nic do tego.

No nie wiem, czy tak "nic do tego". Czy na pewno PKZP może pracodawcy narzucić kanały transportu/transmisji danych osobowych wymienianych między tymi podmiotami albo sposoby zabezpieczenia tych danych podczas transportu/transmisji?

Więc jest ADO. Ale z drugiej strony, środki techniczne i organizacyjne z art. 24 ust. 1 RODO, które powinien wdrożyć ADO, wdrażane są w rzeczywistości przez oddzielne szkoły. Ale ok - one mogą to robić przecież na podstawie art. 28 ust.1. Czyli KZP to ADO a szkoły to podmioty przetwarzające.

Zbył łatwo podejmujesz się trudnych rozstrzygnięć, Na pewno pracodawca nie jest podmiotem przetwarzającym, nie musi wykonywać żadnych władczych poleceń PZKP i nie musi się poddawać ze strony PZKP audytom, kontrolom czy inspekcjom. A więc nie jest procesorem.

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:
O przyznaniu świadczenia decyduje samodzielnie zarząd kasy i to kasa decyduje o celach sposobach przetwarzania - a pracodawcy nic do tego. Więc jest ADO. Ale z drugiej strony, środki techniczne i organizacyjne z art. 24 ust. 1 RODO, które powinien wdrożyć ADO, wdrażane są w rzeczywistości przez oddzielne szkoły. Ale ok - one mogą to robić przecież na podstawie art. 28 ust.1. Czyli KZP to ADO a szkoły to podmioty przetwarzające.

KPZ jako ADO ma wdrożyć środki organizacyjne i techniczne. Organizacyjne - umowa powierzenia. Techniczne - obowiązek prawny pracodawcy (patrz zakaz wydatkowania pieniędzy KPZ na cele inne niż udzielanie wsparcia członkom). Pracodawca jako procesor wykonuje zabezpieczenia d.o. KPZ na własny koszt.
(polecam motyw 81, 109 oraz art 28.3)

Temat: umowa powierzenia przetwarzania w szkołach

Paweł G.:

Andrzej P.:
O przyznaniu świadczenia decyduje samodzielnie zarząd kasy i to kasa decyduje o celach sposobach przetwarzania - a pracodawcy nic do tego.

No nie wiem, czy tak "nic do tego". Czy na pewno PKZP może pracodawcy narzucić kanały transportu/transmisji danych osobowych wymienianych między tymi podmiotami albo sposoby zabezpieczenia tych danych podczas transportu/transmisji?

Więc jest ADO. Ale z drugiej strony, środki techniczne i organizacyjne z art. 24 ust. 1 RODO, które powinien wdrożyć ADO, wdrażane są w rzeczywistości przez oddzielne szkoły. Ale ok - one mogą to robić przecież na podstawie art. 28 ust.1. Czyli KZP to ADO a szkoły to podmioty przetwarzające.

Zbył łatwo podejmujesz się trudnych rozstrzygnięć, Na pewno pracodawca nie jest podmiotem przetwarzającym, nie musi wykonywać żadnych władczych poleceń PZKP i nie musi się poddawać ze strony PZKP audytom, kontrolom czy inspekcjom. A więc nie jest procesorem.

A wiec uznać że są współadministratorami (art. 26 rodo) ?

Temat: umowa powierzenia przetwarzania w szkołach

Radosław Z.:
Pracodawca jako procesor

Kupy się ta koncepcja nie trzyma.

Temat: umowa powierzenia przetwarzania w szkołach

Monika K.:
A wiec uznać że są współadministratorami (art. 26 rodo) ?

Ku temu się skłaniam. I aż się boję konsekwencji tego rozumowania, bo nie wyobrażam sobie usiąść do stołu negocjacyjnego z takim partnerem w celu dokonania "wspólnych uzgodnień". Ja będę gadał o chlebie, oni o niebie. Brr!

Temat: umowa powierzenia przetwarzania w szkołach

Paweł G.:

Radosław Z.:
Pracodawca jako procesor

Kupy się ta koncepcja nie trzyma.

Gdyby się trzymało głowy bym Wam nie zawracał:)
26 w tym wypadku faktycznie powinno być najodpowiedniejsze.
Dzięki

Temat: umowa powierzenia przetwarzania w szkołach

Paweł G.:

Monika K.:
A wiec uznać że są współadministratorami (art. 26 rodo) ?

Ku temu się skłaniam. I aż się boję konsekwencji tego rozumowania, bo nie wyobrażam sobie usiąść do stołu negocjacyjnego z takim partnerem w celu dokonania "wspólnych uzgodnień". Ja będę gadał o chlebie, oni o niebie. Brr!

No dobrze. Ale co w sytuacji kiedy w gminie funkcjonuje tzw. ZEAS - Zespół Ekonomiczo Administracyjny Szkół, który prowadzi księgowość dla wszystkich jednostek oświaty. Zgodnie z GIODO jeśli szkoły są ADO a przekazywanie danych na podst. woli organu założycielskiego (Wójta, Burmistrza) to ZEAS jest podmiotem przetwarzającym i potrzebna umowa powierzenia. Ale jak się to ma do PKZP? ZEAS, który jest podmiotem przetwarzającym dla szkół stanie się współadministratorem dla KZP?

Temat: umowa powierzenia przetwarzania w szkołach

Monika K.:
A wiec uznać że są współadministratorami (art. 26 rodo) ?

Można bezkrytycznie przyjmować informację z forum za prawidłową. Można.
Można też (zaleca się) podchodzić do tych informacji krytycznie i samemu potwierdzać tok rozumowania na podstawie obowiązującego prawa.
Rozporządzenie RM o PKPZ i SKOK, precyzyjnie określa rolę i zadania tak PKZP jak i pracodawcy. W żadnym paragrafie nie spotkałem wzmianki która mogłaby sugerować współADO. Wręcz przeciwnie.

Wracając do pytania czy można uznać że są współADO - tak, można. Tyle, że nie będzie to miało wiele wspólnego z ochroną danych osobowych wg. obowiązujących przepisów.

Temat: umowa powierzenia przetwarzania w szkołach

Andrzej P.:
Gdyby się trzymało głowy bym Wam nie zawracał:)
26 w tym wypadku faktycznie powinno być najodpowiedniejsze.
Dzięki

Powodzenia podczas kontroli.