Centralny Rejestr Umów a RODO: prawne i operacyjne wyzwania ADO
Wprowadzenie Centralnego Rejestru Umów Jednostek Sektora Finansów Publicznych (CRU JSFP), którego pełne funkcjonowanie zaplanowano na 1 lipca 2026 roku, stanowi istotny zwrot w stronę pełnej jawności finansów publicznych w Polsce. Rejestr ten będzie publicznie dostępną ewidencją prowadzoną w systemie teleinformatycznym przez Ministra Finansów, mającą na celu zwiększenie kontroli społecznej nad wydatkowaniem środków publicznych. Choć głównym założeniem jest transparentność, proces ten wiąże się z nowymi operacjami przetwarzania danych osobowych, co nakłada na jednostki sektora finansów publicznych (JSFP) szereg obowiązków wynikających z RODO. Kluczowym zadaniem dla administratorów i Inspektorów Ochrony Danych (IOD) będzie takie zaprojektowanie procesów, aby realizacja zasady jawności nie naruszała konstytucyjnego prawa do prywatności oraz zasad ochrony danych.
Podział ról i odpowiedzialności - kto jest administratorem danych w CRU?
Fundamentem bezpiecznego wdrożenia rejestru jest precyzyjne określenie ról podmiotów biorących udział w przetwarzaniu danych, co w przypadku CRU opiera się na dwóch równoległych płaszczyznach administrowania.
Zgodnie z ustawą o finansach publicznych, Minister Finansów jest administratorem danych użytkowników kont w systemie oraz innych danych niezbędnych do technicznego zapewnienia jego funkcjonowania.
Z kolei kierownik jednostki sektora finansów publicznych pełni rolę administratora danych w zakresie informacji o umowach, które sam zamieścił w rejestrze. To na kierowniku jednostki spoczywa wyłączna odpowiedzialność za realizację obowiązków wynikających z RODO, w tym za zapewnienie rzetelności i bezpieczeństwa publikowanych danych. W debacie eksperckiej wskazuje się, że relacja ta wymaga uważnej analizy, aby rozstrzygnąć, czy mamy do czynienia z współadministrowaniem, powierzeniem przetwarzania danych czy udostępnieniem danych pomiędzy dwoma niezależnymi administratorami. Prawidłowe zdefiniowanie tych ról jest niezbędne dla zachowania zasady rozliczalności i właściwego prowadzenia rejestru czynności przetwarzania.
Jawność finansów publicznych a ochrona prywatności i granice udostępniania danych
Proces udostępniania informacji w CRU wymaga każdorazowej kategoryzacji umowy pod kątem spełnienia przesłanek ustawowych i ochrony prywatności. Obowiązek publikacji dotyczy umów, które:
- stanowią zamówienie w rozumieniu Prawa zamówień publicznych (umowa odpłatna, nabycie robót, dostaw lub usług);
- zostały zawarte w formie pisemnej, dokumentowej, elektronicznej lub innej szczególnej (np. akt notarialny).
W rejestrze ujawnia się m.in. numer umowy, datę zawarcia, okres obowiązywania, oznaczenie stron, przedmiot oraz wartość. Największe kontrowersje budzi ujawnianie imion i nazwisk kontrahentów. Choć art. 5 ustawy o dostępie do informacji publicznej (UDIP) chroni prywatność, orzecznictwo (m.in. wyroki Sądu Najwyższego i NSA) wskazuje, że dane kontrahentów JSFP (imiona i nazwiska) nie podlegają wyłączeniu z uwagi na prywatność, gdyż wydatkowanie środków publicznych wymaga transparentności.
Wyłączeniu podlegają jednak bezwzględnie umowy o pracę oraz umowy uregulowane w Kodeksie pracy (np. o zakazie konkurencji), podczas gdy umowy zlecenia i o dzieło muszą być publikowane. Istotne są również wyłączenia dla służb specjalnych (ABW, CBA), placówek zagranicznych oraz zamówień z aspektami bezpieczeństwa państwa. Administrator musi także przestrzegać retencji danych: informacje o umowie są usuwane z CRU po upływie 5 lat, licząc od końca roku, w którym umowa przestała obowiązywać. Co ważne, choć osoby fizyczne mają prawo do sprostowania błędnych danych w rejestrze, nie przysługuje im prawo do sprzeciwu czy "bycia zapomnianym" wobec danych publikowanych na podstawie ustawowego obowiązku.
Prowadzenie Centralnego Rejestru Umów to nie tylko obowiązek techniczny, ale przede wszystkim złożone wyzwanie z zakresu ochrony danych osobowych, które wymaga podejścia opartego na zasadzie privacy by design. Skuteczne wdrożenie CRU zależy od rzetelnego wypełnienia obowiązków informacyjnych wobec kontrahentów, dostosowania klauzul w umowach (zgodnie z art. 13 RODO) oraz przeprowadzenia wnikliwej analizy ryzyka. Choć jawność wydatkowania środków publicznych jest wartością nadrzędną, nie może ona prowadzić do nieuzasadnionej ingerencji w sferę prywatności obywateli, co wymaga od kierowników jednostek i IOD stałego monitorowania poprawności i niezbędności publikowanych informacji. Warto podkreślić, że wyznaczona na 1 lipca 2026 roku data uruchomienia systemu nie jest jedynie terminem instrukcyjnym czy czasem na testy, lecz momentem, w którym obowiązek publikacji informacji o umowach staje się formalnie wiążący i w pełni egzekwowalny, co wymaga od jednostek sektora finansów publicznych całkowitej gotowości operacyjnej oraz przejęcia pełnej odpowiedzialności za zgodność tych procesów z wymogami RODO.
Zapraszamy do zapoznania się z materiałami dostępnymi w LEX Ochrona Danych Osobowych, m.in. nagraniami ze szkoleń - prof. UŁ, radczyni prawnej Marleny Sakowskiej-Baryły pt.: „Centralny Rejestr Umów a RODO” oraz adw. Pawła Litwińskiego „Centralny Rejestr Umów a RODO – operacyjne wdrożenie krok po kroku”, w których prelegenci dostarczają więcej praktycznych wskazówek pomagających w wdrożeniu obowiązków.
W LEX Ochrona Danych Osobowych znajdziesz także odpowiedzi na dziesiątki praktycznych pytań związanych z prawidłowym wdrażaniem i korzystaniem z CRU w kontekście ochrony danych osobowych, takich jak m.in.:
- jakie dane można ujawnić w rejestrze w przypadku osoby fizycznej?
- jakie są przykłady wyłączenia jawności ze względu na prywatność osoby
- czy zapis w umowie dotyczący tajemnicy przedsiębiorstwa (np. w zakresie wynagrodzenia) wpływa na obowiązek publikacji informacji?
- czy obecnie obowiązują przepisy przewidujące kary lub sankcje za niezamieszczenie umowy w CRU?
- czy usuwanie danych z rejestru będzie automatyczne, czy ADO musi to przeglądać i samodzielnie usunąć?
