Regionalna Izba Obrachunkowa przedstawiła ustalenia kontroli i wniosła o ich wykorzystanie w celu usunięcia stwierdzonych nieprawidłowości oraz usprawnienie gospodarki finansowej poprzez realizację wniosków pokontrolnych. Zgodnie z wytycznymi, zalecenia pokontrolne zostały wykonane przez CUW, a RIO w ustawowym terminie zostało poinformowane o sposobie ich realizacji. Centrum Usług Wspólnych podejmuje działania mające na celu zachowanie konkurencyjności, a potwierdzeniem tego jest fakt, iż od 2022 roku placówki oświatowe, obsługiwane są przez inny podmiot, wyłoniony w procedurze konkurencyjnej. Zatem inspektor ochrony danych pracujący na etacie w starostwie nie świadczy już usług RODO podległym placówkom oświatowym w ramach wykonywanej działalności gospodarczej.
Odnosząc się do sugestii przekazanych przez radną powiatu gnieźnieńskiego Nataszę Szalaty, dotyczących nieprawidłowości w obszarze zamówień publicznych, trzeba zaznaczyć, że propozycja pani radnej dotycząca poszerzenia zakresu obowiązków Inspektora Ochrony Danych (IOD) zatrudnionego w Starostwie Powiatowym w Gnieźnie o obsługę jednostek podległych w zakresie usługi RODO, wykracza poza przedmiot kontroli Regionalnej Izby Obrachunkowej. Wprawdzie przepis art. 37 ust. 3 RODO przewiduje możliwość wyznaczenia jednego administratora danych dla kilku podmiotów publicznych, niemniej zastosowanie tego przepisu w praktyce, według opinii prawników nastręcza poważnych trudności. Wynika to z faktu, że zgodnie z art. 38 ust. 3 RODO Inspektor Ochrony danych podlega bezpośrednio najwyższemu kierownictwu administratora danych, na przykład dyrektora szkoły. Jedną z zasad niezależności Inspektora Ochrony Danych jest umieszczenie go w hierarchii pod najwyższym kierownictwem. IOD powinien więc raportować w zakresie swoich zadań wyłącznie do osób reprezentujących administratora danych, np. dyrektora placówki oświatowej. Tylko taka podległość jest gwarancją niezależnej, wysokiej pozycji IOD w strukturze podmiotów publicznych.
Mając na względzie przepisy prawne samo odgórne wyznaczenie wspólnego Inspektora Ochrony Danych (IOD) nie jest wystarczające dla sformalizowania wspólnej obsługi. IOD musi być bowiem związany umową (np. cywilno-prawną), by bezpośrednio podlegać dyrektorowi danej jednostki. W praktyce spotyka się rozmaite rozwiązania m.in. cząstkowe etaty w poszczególnych jednostkach (np. placówkach oświatowych) lub różne warianty umów cywilno-prawnych. Trudno jednak wyobrazić sobie, aby w ramach obowiązków służbowych, w czasie funkcjonowania urzędu, IOD obsługiwał równolegle kilkanaście placówek oświatowych oraz żeby to wynikało bezpośrednio z umowy pomiędzy Starostą, a pracownikiem urzędu, w tym przypadku Inspektorem Ochrony Danych (IOD).
Odnosząc się do sugestii przekazanych przez radną powiatu gnieźnieńskiego Nataszę Szalaty, dotyczących nieprawidłowości w obszarze zamówień publicznych, trzeba zaznaczyć, że propozycja pani radnej dotycząca poszerzenia zakresu obowiązków Inspektora Ochrony Danych (IOD) zatrudnionego w Starostwie Powiatowym w Gnieźnie o obsługę jednostek podległych w zakresie usługi RODO, wykracza poza przedmiot kontroli Regionalnej Izby Obrachunkowej. Wprawdzie przepis art. 37 ust. 3 RODO przewiduje możliwość wyznaczenia jednego administratora danych dla kilku podmiotów publicznych, niemniej zastosowanie tego przepisu w praktyce, według opinii prawników nastręcza poważnych trudności. Wynika to z faktu, że zgodnie z art. 38 ust. 3 RODO Inspektor Ochrony danych podlega bezpośrednio najwyższemu kierownictwu administratora danych, na przykład dyrektora szkoły. Jedną z zasad niezależności Inspektora Ochrony Danych jest umieszczenie go w hierarchii pod najwyższym kierownictwem. IOD powinien więc raportować w zakresie swoich zadań wyłącznie do osób reprezentujących administratora danych, np. dyrektora placówki oświatowej. Tylko taka podległość jest gwarancją niezależnej, wysokiej pozycji IOD w strukturze podmiotów publicznych.
Mając na względzie przepisy prawne samo odgórne wyznaczenie wspólnego Inspektora Ochrony Danych (IOD) nie jest wystarczające dla sformalizowania wspólnej obsługi. IOD musi być bowiem związany umową (np. cywilno-prawną), by bezpośrednio podlegać dyrektorowi danej jednostki. W praktyce spotyka się rozmaite rozwiązania m.in. cząstkowe etaty w poszczególnych jednostkach (np. placówkach oświatowych) lub różne warianty umów cywilno-prawnych. Trudno jednak wyobrazić sobie, aby w ramach obowiązków służbowych, w czasie funkcjonowania urzędu, IOD obsługiwał równolegle kilkanaście placówek oświatowych oraz żeby to wynikało bezpośrednio z umowy pomiędzy Starostą, a pracownikiem urzędu, w tym przypadku Inspektorem Ochrony Danych (IOD).
