Logo Logo Menu
Zamknij

Czy inspektor ochrony danych osobowych to osoba pełniąca funkcje publiczne?

Spółka zwróciła się do Prezesa Zakładu Ubezpieczeń Społecznych (ZUS) z wnioskiem o udostępnienie informacji publicznej w zakresie m.in. wynagrodzenia inspektora ochrony danych (IOD).

Organ wydał jednak decyzję o odmowie udostępnienia informacji, wskazując, że IOD nie pełni funkcji publicznych, ponieważ jest to jedynie stanowisko usługowe, a tym należy mu się ochrona prywatności, o której mowa w art. 5 ust. 2 Ustawy o dostępie do informacji publicznej.

Sprawa trafiła do sądu administracyjnego, jako że spółka wniosła skargę na decyzję Prezesa ZUS-u. Skarga została uwzględniona wyrokiem WSA w Warszawie z 27 stycznia 2022 r. o sygn. akt II SA/Wa 2930/21, ale organ skierował sprawę do NSA. Ostatecznie w wyroku z 20 lutego 2024 r. o sygn. akt III OSK 1257/22 Sąd oddalił skargę kasacyjną i stwierdził, że ochrona danych osobowych jest nierozerwalnie związana z wykonywaniem zadań publicznych przez ZUS, zatem zadania IOD w ZUS można zakwalifikować jako pośrednio związane z wykonywaniem zadań publicznych:

W ocenie Naczelnego Sądu Administracyjnego ustalenie, czy dana osoba pełni funkcje publiczne, a w konsekwencji czy wyłączone jest w stosunku do niej ograniczenie prawa do informacji publicznej ze względu na jej prywatność, nie może nastąpić w oderwaniu od miejsca, w którym dana osoba wykonuje swoje obowiązki służbowe. Nie ulega bowiem wątpliwości, że inaczej w tym kontekście będą traktowani np. członkowie zarządu spółki, w której jednoosobowym udziałowcem jest Skarb Państwa lub jednostka samorządu terytorialnego, zwłaszcza jeśli przedmiotem jej działalności jest wykonywanie zadań publicznych (por. wyrok NSA z 28 czerwca 2019 r. sygn. akt I OSK 2124/17), niż członkowie zarządu podobnej Spółki, ale której udziałowcami są wyłącznie osoby lub podmioty prywatne. Podobnie inaczej należy traktować inspektora ochrony danych zatrudnionego w jednostce budżetowej wykonującej zadania publiczne, jaką jest ZUS, niż inspektora ochrony danych zatrudnionego w przedsiębiorstwie prywatnym, którego zatrudnienie może być wymagane na podstawie art. 37 ust. 1 lit. b) i c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1). W związku z tym ustalenie, czy inspektor danych osobowych w ZUS pełni funkcję publiczną, czy też tylko – jak twierdzi skarżący kasacyjnie organ – usługowo-techniczną – musi przede wszystkim uwzględniać zakres zadań publicznych wykonywanych przez ZUS i zakres, w jakim inspektor ochrony danych w ich wykonywaniu uczestniczy. Przy czym wbrew twierdzeniom zawartym w skardze kasacyjnej organu uczestnictwo to nie musi mieć charakteru bezpośredniego.

(…) 

W związku z tym ocena, czy zostały spełnione warunki do uznania, że dana osoba pełni funkcję publiczną, muszą być dokonywane indywidualnie w każdej sprawie. Słusznie zatem Sąd I instancji, analizując w tym kontekście charakter funkcji inspektora ochrony danych w ZUS, nie ograniczył się wyłącznie do jego kompetencji wynikających z przepisów Rozporządzenia (UE) 2016/679, ale także przeanalizował zapisy Regulaminu ZUS. Z analizy zaś tych zapisów wynika, że zakresu kompetencji inspektora ochrony danych w żaden sposób nie można określić jako usługowo-technicznego. Jak bowiem wskazał Sąd I instancji, inspektor ochrony danych w ZUS kieruje wieloosobowym stanowiskiem, wszystkie osoby zatrudnione w ZUS mają obowiązek współpracy z nim, w związku z realizacją jego zadań własnych, a uprawniony jest m.in. do „rozpatrywania wniosków”, „prowadzenia postępowań”, „prowadzenia audytów” czy „reprezentowania ZUS wobec organu nadzoru”. Wprawdzie wśród zadań wykonywanych przez ZUS, określonych w przepisach u.o.s.u.s., na które powołuje się skarżący kasacyjnie organ, a które niewątpliwie mają charakter zadań publicznych, nie są wymienione zadania związane z ochroną danych osobowych, ale w tej samej ustawie znajdują się zapisy nakładające na ZUS także obowiązki w zakresie regulacji dotyczących ochrony danych osobowych, np. art. 34 ust. 3 i 4, art. 34a, art. 68a ust. 3 u.o.s.u.s. W związku z tym ochrona danych osobowych jest nierozerwalnie związana z wykonywaniem zadań publicznych przez ZUS. W tych okolicznościach określone powyżej zadania inspektora ochrony danych w ZUS można zakwalifikować jako pośrednio związane z wykonywaniem przez ZUS zadań publicznych, skoro mają one na celu zapewnienie przestrzegania przez ZUS przepisów dotyczących ochrony danych osobowych przy wykonywaniu jego zadań nałożonych przepisami u.o.s.u.s. Nie można także zapominać, że biorąc pod uwagę ilość danych osobowych przetwarzanych przez ZUS oraz wysokość kar wymierzanych za ewentualne naruszenie przepisów dotyczących danych osobowych, niewłaściwe wykonywanie obowiązków służbowych także przez inspektora ochrony danych może narazić ZUS na odpowiedzialność finansową, ponoszoną ze środków publicznych, co niewątpliwie związane jest z gospodarowaniem majątkiem publicznym.

[podkr. autorka]

Chcesz, aby Twoje prawa były chronione, a politycy mądrze wydawali Twoje pieniądze?

Wspieraj nas lub włącz się w nasze działania

Komentarze 0

Dodaj komentarz