CZY KOMISJA REWIZYJNA KONTROLUJĄCA JEDNOSTKĘ PODLEGŁĄ GMINIE MOŻE PRZEGLĄDAĆ TECZKI OSOBOWE PRACOWNIKÓW TEJ JEDNOSTKI?

Zgodnie z art. 18a ust. 1 ustawy o samorządzie gminnym (dalej: u.s.g.) rada gminy kontroluje działalność wójta, gminnych jednostek organizacyjnych oraz jednostek pomocniczych gminy poprzez swój organ pomocniczy – komisję rewizyjną. Ustawa nie zawiera szczegółowych regulacji dotyczących sposobu działania komisji, w tym zasad przetwarzania danych osobowych przez radnego – członka komisji. Art. 18a ust. 5 u.s.g. wskazuje jedynie, że zasady i tryb działania komisji rewizyjnej określa statut gminy.

Wobec braku szczegółowych rozwiązań ustawowych w kwestii bezpieczeństwa danych, należy odwołać się do zasad ogólnych wynikających z RODO. Jak stanowi art. 5 ust. 1 lit. b RODO, dane osobowe powinny być przetwarzana w konkretnych, wyraźnych i prawnie uzasadnionych celach. Uprawnienia kontrolne komisji rewizyjnej, to tak naprawdę uprawnienia przysługujące samej radzie gminy, jako organowi kontrolnemu (art. 15 ust. 1 u.s.g.), doprecyzowane w statucie gminy. Mając to na względzie należy przyznać ogólne prawo członków komisji do wglądu w teczki osobowe pracowników kontrolowanej jednostki podległej gminie w celu przeprowadzenia kontroli, ale ze względu na zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO), nie można stwierdzić, że to uprawnienie skrępowane jest jedynie granicami kompetencji rady gminy.
Art. 5 ust. 1 lit. c RODO stanowi, iż dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Oznacza to, że w przypadku przeprowadzanej kontroli. przetwarzanie danych osobowych powinno obejmować tylko to, co jest niezbędne dla konkretnego celu, w którym kontrola została wszczęta. Na przykład, jeżeli sprawdzana jest prawidłowość upoważnień do realizacji określonych działań, którymi powinien dysponować pracownik, to jak najbardziej komisja rewizyjna ma prawo do wglądu w jego teczkę osobową i przetwarzania danych osobowych pracownika powiązanych z legitymowaniem się wymaganym upoważnieniem, ale jeżeli celem kontroli jest sprawdzenie celowości jakiegoś działania jednostki kontrolowanej, dla którego nie mają znaczenia dane osobowe pracowników, to należy odmówić komisji wglądu do teczki, o ile kontrolujący nie wykaże, że przetwarzanie danych osobowych pracownika jest niezbędne do realizacji celu kontroli.
Podstawa Prawna:
– Ustawa z dnia 8 marca 1990 r. o samorządzie gminnym (t.j. Dz. U. z 2023 r. poz. 40 z późn. zm.).
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).