RODO w wielu przepisach posługuje się pojęciem organów publicznych. Zdefiniowanie tego pojęcia jest niezwykle istotne, m.in. dlatego, że organ publiczny nie może przetwarzać danych osobowych w oparciu o przesłankę prawnie uzasadnionego interesu administratora, w ramach realizacji swoich zadań. Sprawdź, jakie podmioty należy zakwalifikować jako organy publiczne.
Przesłanka prawnie uzasadnionego interesu nie dla każdego
Zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Przepis ten nie ma jednak zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Z przesłanki można skorzystać w sferze cywilnoprawnej
Wskazane wyłączenie nie oznacza całkowitego wyłączenia przesłanki z art. 6 ust. 1 lit. f RODO w odniesieniu do organów publicznych, a tylko do tej części ich działalności, która wynika z „realizacji swoich zadań”. Chodzi tu więc o klasyczne odróżnienie imperium i dominium – sfery prawa cywilnego. W tej drugiej sferze organ publiczny występuje jako zwykły uczestnik obrotu cywilnoprawnego i może się powoływać na przesłankę prawnie uzasadnionego interesu.
Musimy zajrzeć do regulacji krajowych
W istocie brak jest jednoznacznej, prawnej definicji „organu publicznego” jako terminu używanego w przepisach dotyczących ochrony danych osobowych. RODO nie definiuje także pojęcia „organ lub podmiot publiczny”, używanego przy okazji obowiązku ustanowienia IOD. Doprecyzowuje to pojęcie wprawdzie polski ustawodawca ale także tylko na potrzeby obowiązku ustanowienia inspektora.
Grupa Robocza Art. 29 (niezależny podmiot doradczy powołany do spraw ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołany na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych) stwierdza, że definicji organu lub podmiotu publicznego trzeba szukać na poziomie przepisów krajowych. W literaturze przedmiotu raczej zgodnie przyznaje się, że oznacza to konieczność sięgnięcia właśnie po przepis art. 9 ustawy o ochronie danych osobowych. Przepis ten stanowi zaś, ze przez organy i podmioty publiczne obowiązane do wyznaczenie inspektora ochrony danych osobowych, rozumie się:
- jednostki sektora finansów publicznych;
- instytuty badawcze;
- Narodowy Bank Polski.
Zgodnie z art. 9 ustawy o finansach publicznych sektor finansów publicznych tworzą:
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
- jednostki samorządu terytorialnego oraz ich związki;
- związki metropolitalne;
- jednostki budżetowe;
- samorządowe zakłady budżetowe;
- agencje wykonawcze;
- instytucje gospodarki budżetowej;
- państwowe fundusze celowe;
- Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
- Narodowy Fundusz Zdrowia;
- samodzielne publiczne zakłady opieki zdrowotnej;
- uczelnie publiczne;
- Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
- państwowe i samorządowe instytucje kultury;
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6,
- Ustawa z 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) – art. 9.
Czytaj też:
- Na jakiej podstawie jednostka publiczna może przetwarzać dane dłużników
- Kim jest odbiorca danych według RODO
Marcin Sarna
Radca prawny, ekspert portalu PoradyODO.pl