Przekazywanie zadań publicznych między jednostkami

Czy jednostki podległe jednemu urzędowi miejskiemu mogą przekazywać sobie zadania publiczne i dane osobowe swoich klientów?

Możliwość: TAK, ale pod pewnymi warunkami.

Jednostki organizacyjne gminy (np. MOPS, ZGK, OSiR, biblioteka miejska, MPGKiM, MZDiM) są odrębnymi jednostkami organizacyjnymi, ale nie mają osobowości prawnej – działają w imieniu gminy.

Przekazywanie zadań między nimi może mieć miejsce, jeśli wynika to z upoważnienia organu wykonawczego (burmistrza/prezydenta) lub z przepisów prawa miejscowego (np. uchwała rady gminy).

Zazwyczaj odbywa się to poprzez:

• porozumienie wewnętrzne (umowę powierzenia zadań),
• regulamin organizacyjny urzędu lub jednostki,
• pełnomocnictwo lub decyzję administracyjną.

Podstawa prawną przetwarzania jest tutaj art. 31 ustawy o samorządzie gminnym – burmistrz wykonuje zadania gminy przy pomocy urzędu i jednostek organizacyjnych.

Czy miejskie jednostki/spółki mogą przekazywać sobie dane osobowe swoich klientów/mieszkańców miasta?

Możliwość: TAK, ALE wyłącznie w granicach RODO i zasady minimalizacji danych.

Nawet jeśli jednostki są częścią jednego podmiotu (gminy), to w świetle RODO często działają jako odrębni administratorzy danych (jeśli samodzielnie określają cele i sposoby przetwarzania danych).

Przekazanie danych osobowych między nimi musi mieć podstawę prawną – np. obowiązek ustawowy, umowa powierzenia przetwarzania lub uzasadniony interes publiczny.

Konieczne jest również:

• wskazanie celu przetwarzania,
• zachowanie zasady minimalizacji danych,
• zapewnienie odpowiedniego zabezpieczenia danych.

Jeśli nie ma wyraźnej podstawy prawnej do udostępnienia danych osobowych, konieczna może być zgoda osoby, której dane dotyczą.

✅ Co można zrobić w praktyce:

1. Dokonać analizy RODO – czy jednostki są współadministratorami, czy odrębnymi administratorami.

2. Spisać umowę powierzenia przetwarzania danych (jeśli jedna jednostka działa na polecenie drugiej).

3. Określić zasady przekazywania danych w regulaminie lub zarządzeniu burmistrza.

4. Zapewnić transparentność wobec osób, których dane są przekazywane (obowiązek informacyjny)

Czy miejskie jednostki/spółki przy przekazywaniu sobie danych osobowych swoich klientów muszą ich o tym informować?

Tak, co do zasady, klienci (osoby, których dane dotyczą) powinni zostać poinformowani o przekazaniu ich danych osobowych między miejskimi jednostkami lub spółkami – chyba że zachodzi wyjątek przewidziany w RODO.

Obowiązek informacyjny w RODO – podstawa prawna

Zgodnie z art. 13 i 14 RODO, administrator danych osobowych ma obowiązek poinformować osobę, której dane dotyczą, m.in. o:

• tożsamości i danych kontaktowych administratora,
• celu i podstawie prawnej przetwarzania danych,
• odbiorcach danych (lub kategoriach odbiorców),
• prawach osoby, której dane dotyczą,
• planowanym przekazywaniu danych innym podmiotom.

Kiedy trzeba poinformować klienta o przekazaniu danych?

Tak – gdy obowiązek informacyjny istnieje:

• gdy dane są przekazywane innemu administratorowi danych (np. jednostka budżetowa → spółka komunalna),
• gdy zmienia się cel przetwarzania danych,
• gdy dane są pozyskiwane od innego podmiotu, a nie bezpośrednio od osoby (art. 14 RODO).

Nie – wyjątki od obowiązku informowania (art. 14 ust. 5 RODO):

• osoba, której dane dotyczą, już posiada te informacje,
• przekazanie danych jest wyraźnie uregulowane prawem (np. obowiązek ustawowy),
• obowiązek informacyjny okazałby się niemożliwy lub wymagałby niewspółmiernie dużego wysiłku, ale wtedy trzeba udostępnić informacje publicznie (np. na stronie internetowej).

Specyfika miejskich jednostek i spółek

Jednostki organizacyjne gminy (np. MOPS, OSiR) mogą być uznawane za odrębnych administratorów danych – jeśli samodzielnie decydują o celach i sposobach przetwarzania danych.

Spółki komunalne (np. ZWiK, MPO) są osobami prawnymi, zatem zawsze są odrębnymi administratorami – przekazanie danych do nich jest przekazaniem do innego podmiotu.

W takich przypadkach obowiązek poinformowania klienta zazwyczaj istnieje.

Co można zrobić w praktyce?

W klauzuli informacyjnej (np. przy zbieraniu danych od klienta) warto z góry wskazać potencjalnych odbiorców danych – np. inne jednostki gminne lub spółki komunalne.

W przypadku przekazania danych innemu administratorowi, należy zapewnić, że osoba została o tym poinformowana, chyba że zachodzi wyjątek.

Zalecane: opracowanie standardowych klauzul informacyjnych oraz rejestru czynności przetwarzania, które uwzględniają przekazywanie danych między jednostkami.

Przykład klauzuli:

„Pani/Pana dane osobowe mogą być przekazywane innym jednostkom organizacyjnym Gminy X lub spółkom komunalnym w celu realizacji ustawowych zadań publicznych, zgodnie z przepisami prawa. Aktualna lista odbiorców danych dostępna jest na stronie: www.gmina.pl/rodo.”