Kontekst: Ustawa z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. 2024 poz. 107)
Na podstawie zapisów „Art. 16 Komisja rewizyjna rady powiatu” ww. ustawy trudno jest odnaleźć podstawę prawną upoważniającą komisje rewizyjne do dostępu do szerokiego zakresu danych osobowych. Mówimy tu m. in. o przedsiębiorcach, praktykantach. pracownikach. a także osobach wnioskujących o udzielenie wsparcia.
Ustawa ta również nie reguluje zasad przetwarzania danych przez komisje, więc to powinny określać plany prac komisji / kontroli. Z informacji, które otrzymałem do tej pory nie wynika, iż wykazano związek pomiędzy celami pracy komisji rewizyjnej, a potrzebą pozyskania przez nią szerokiego zakresu danych osobowych.
Rozporządzenie Parlamentu Europejskiego i RADY (UE) 2016/679 mówi wyraźnie, że przetwarzanie danych osobowych musi być zgodne z celami, dla których zostały pozyskane i podlegają przetwarzaniu. Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane.
Rozporządzenie mówi również, że za przetwarzanie danych osobowych zgodnie z celami i ogólnymi zasadami przetwarzania danych osobowych odpowiada administrator, czyli w tym przypadku Powiatowy Urząd Pracy w Wołominie.
Nie widziałem planu kontroli / planu pracy komisji, tego konkretnego wniosku oraz innych dokumentów komisji / PUP związanych z tą kontrolą więc mogę czegoś nie wiedzieć, ale w mojej ocenie dane osobowe wszystkich kategorii osób, o których mowa w Państwa pytaniu niekoniecznie muszą podlegać udostępnieniu komisji w celu kontynuacji przez nią prac. Nie potrafię odszukać zależność, że dane osobowe mogą uzależniać prace komisji lub wpływać na wyniki jej pracy. W mojej ocenie komisja powinna zbadać gospodarność i zasadność wydatkowania środków przez PUP i nie rozumiem czemu kluczowe są w tym procesie dane osobowe.
Zasady ogólne pracy komisji rewizyjnych w kontekście ochrony danych osobowych i dostępu do dokumentów
Komisja rewizyjna starostwa ma prawo dostępu do danych osobowych w zakresie niezbędnym do wykonywania swoich zadań kontrolnych, w tym sprawdzenia prawidłowości zatrudnienia, gospodarności, legalności i rzetelności działań kontrolowanego podmiotu, zgodnie z przepisami o ochronie danych osobowych i ustawami samorządowymi. Dostęp ten jest jednak ograniczony do tego, co jest niezbędne do realizacji celu kontroli i wymaga ścisłego przestrzegania przepisów o ochronie danych osobowych (RODO).
Zakres dostępu do danych osobowych przez komisję rewizyjną:
Cele kontrolne: Komisja rewizyjna ma prawo dostęp do danych osobowych w stopniu, w jakim jest to niezbędne do przeprowadzenia kontroli w zakresie gospodarności, rzetelności, legalności i celowości działań starostwa.
Przykładowe obszary kontroli:
- Prawidłowość zatrudnienia w starostwie i jego jednostkach organizacyjnych.
- Zgodność dokumentacji z faktycznym stanem rzeczy.
- Finansowa działalność starostwa.
Podstawa prawna: Dostęp do danych osobowych jest regulowany przez przepisy prawa, w tym m.in. przepisy ogólne o ochronie danych osobowych oraz ustawy o samorządzie powiatowym (dotyczącym starostwa).
Zasady przetwarzania danych
Zgodność z prawem: Dane osobowe mogą być przetwarzane tylko zgodnie z prawem, czyli w zakresie dozwolonym przez przepisy i w celu wykonania konkretnych zadań kontrolnych.
Ograniczenie dostępu: Dostęp do danych osobowych powinien być ograniczony do minimum niezbędnego do osiągnięcia celów kontrolnych.
Ochrona danych: Członkowie komisji rewizyjnej są zobowiązani do przestrzegania przepisów o ochronie danych osobowych, co oznacza konieczność ochrony danych przed nieuprawnionym dostępem, ujawnieniem czy zniszczeniem.
Zakres dostępu do dokumentów
Komisja rewizyjna ma prawo żądać wszelkich dokumentów, które są niezbędne do prawidłowego wykonania jej ustawowych obowiązków kontrolnych. Może to obejmować między innymi: plany finansowe i sprawozdania finansowe, umowy związane z inwestycjami i zobowiązaniami (pożyczki, kredyty), akta osobowe pracowników, ale tylko w zakresie niezbędnym do oceny gospodarki finansowej, np. weryfikacji wynagrodzeń, protokoły posiedzeń organów i komisji, informacje dotyczące stanu majątku.
Ograniczenia w dostępie do dokumentów
Ochrona danych osobowych: Dostęp do danych osobowych zawartych w dokumentach jest ograniczony przez przepisy RODO i ustawę o ochronie danych osobowych. Komisja może uzyskać dostęp tylko wtedy, gdy jest to absolutnie niezbędne do realizacji jej zadań.
Tajemnice ustawowe: Komisja nie ma prawa dostępu do dokumentów zawierających informacje objęte tajemnicą skarbową ani innych tajemnic ustawowych. W takich przypadkach organ kontrolujący musi przestrzegać przepisów Ordynacji podatkowej lub innych ustaw.
Zakres kontroli: Komisja nie może przeprowadzać kontroli wykraczających poza zakres jej delegacji ustawowych.
Statuty powiatów często nie regulują spraw związanych z dostępem do danych osobowych. Jedynie czasem znajdują się w nich zapisy, że członkowie komisji mogą zostać wyłączeni z prac komisji jeżeli zachodzi wątpliwość co do ich bezstronności. Trzeba to jednak wykazać.
Pewien zakres danych osobowych może zostać udostępniony komisji, jak. np. nazwa przedsiębiorcy lub ograniczone dane osoby fizycznej, którzy korzystają ze wsparcia jednostek organizacyjnych / urzędów, ale udostępnieniu nie powinny podlegać dane osób „trzecich”, które mogą znajdować się w dokumentacji, a te osobowy nie były wnioskującymi o wsparcie i nie są świadome udostępnieniu swoich danych. Należy zwrócić też uwagę na ważny fakt, iż członkowie komisji są osobami działającymi również na swój rachunek (prywatnie) i udostępnienie pewnych danych może narazić osoby korzystające z pomocy publicznej na naruszenie ich dóbr osobistych i dalej roszczeniami ze strony tych osób wobec administratora.
Często też zdarza się, że roczne plan pracy komisji rewizyjnych nie regulują zasad przetwarzania danych osobowych.
W naszej ocenie:
Plan pracy komisji rewizyjnej w siedzibie administratora danych osobowych powinien zawierać informacje:
– do jakiego rodzaju dokumentów komisja chce mieć dostęp;
– do jakich kategorii danych osobowych komisja chce mieć dostęp.
Jak już pisaliśmy wcześniej, komisja powinna mieć dostęp do dokumentów i danych wyłącznie w celu zrealizowania planu, celu i zakresu kontroli. Trudno znaleźć przepisy mówiące o konsekwencjach odmowy dostępu do danych osobowych przez administratora danych osobowych w podobnych sytuacjach, natomiast przyznanie dostępu do danych osobowych bez zgody osoby fizycznej lub mocnej podstawy prawnej może wiązać się z odpowiedzialną karną oraz finansową administratora.