RCKiK Racibórz
Nie czekaj i zadzwoń!
32 418 15 01
Napisz do nas e-mail:
sekretariat@rckik.pl

Procedura ochrony danych osobowych przy prowadzeniu CRU

Niniejsza procedura określa sposób przetwarzania i ochrony danych w związku z realizacją zadań polegających na udostępnianiu i aktualizacji w Centralnym Rejestrze Umów Jednostek Sektora Finansów Publicznych (dalej: CRU) informacji o umowach zawartych przez jednostkę sektora finansów publicznych (dalej: j.s.f.p.) lub na jej rzecz.

Wymogi prawne w tym zakresie zostały uregulowane w art. 34a – 34d ustawy z 27.08.2009 r. o finansach publicznych (Dz.U. z 2025 r., poz. 1483 ze zm. – dalej: u.f.p.), w rozporządzeniu Ministra Finansów i Gospodarki z 30.03.2026 r. w sprawie Centralnego Rejestru Umów Jednostek Sektora Finansów Publicznych (Dz.U. z 2026 r., poz. 440, dalej: rozporządzenie CRU) oraz w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L. z 2016 r., poz. 119, dalej: ogólne rozporządzenie o ochronie danych).

1. Podejmowanie działań przez osoby uprawnione

Do wykonywania czynności związanych z udostępnianiem i aktualizacją w CRU informacji o umowach uprawnione są osoby upoważnione przez kierownika j.s.f.p. i posiadające konto w systemie teleinformatycznym CRU.

2. Ocena i kwalifikowanie informacji o umowach i zawartych w nich danych do publikacji w CRU

Przed wprowadzeniem informacji o umowie do CRU osoba uprawniona dokonuje oceny dopuszczalności udostępnienia informacji w CRU, uwzględniając wymogi określone w art. 34a u.f.p. Dane osobowe udostępniane w CRU powinny być ograniczone do oznaczenia stron umowy. Wśród informacji o stronach umowy większość odnosić się będzie do przedsiębiorców, jednak mogą tam znaleźć się informacje o osobach fizycznych, z którymi umowa została zawarta. W przypadku gdy stroną umowy jest osoba fizyczna, oznaczeniem strony umowy jest imię i nazwisko tej osoby (por. §3 pkt 2 rozporządzenia CRU). W zakresie oznaczenia stron umowy nie mieszczą się inne dane osób fizycznych, w szczególności numery PESEL i adresy zamieszkania, które są zawarte w umowach, jednak nie podlegają udostępnianiu w CRU.

3. Anonimizacja danych przed ich publikacją w CRU

Jeżeli w zakresie informacji o umowie podlegających udostępnieniu w CRU znajdują się dane osobowe, które podlegają wyłączeniu z udostępniania na podstawie art. 24a ust. 8 u.f.p. (w CRU nie udostępnia się informacji o umowie, co do których prawo do informacji publicznej podlega ograniczeniu na podstawie art. 5 ust. 1 i 2-2b ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej), wówczas tego rodzaju dane należy zanonimizować. Dotyczy to w szczególności informacji obejmujących wskazanie przedmiotu umowy, z którego wprost bądź pośrednio możliwe byłoby ustalenie informacji odnoszących się do sfery prywatności osoby fizycznej – w tym przypadku należy dokonać anonimizacji tego rodzaju danych. W przypadku wyłączenia jawności ze względu na prywatność osoby, w CRU należy zamieścić wzmiankę o przyczynie wyłączenia jawności (jednostkę redakcyjną i tytuł aktu prawnego stanowiących podstawę prawną nieudostępnienia informacji oraz nazwę organu lub stanowisko osoby dokonującej wyłączenia jawności informacji, zgodnie z art. 34a ust. 7 pkt 9 u.f.p. oraz §3 pkt 7 rozporządzenia CRU).

4. Wprowadzanie danych do CRU i udostępnianie informacji w CRU

Zgodnie z art. 34a ust. 10 u.f.p. informacje o umowie udostępnia się i aktualizuje w CRU bez zbędnej zwłoki, nie później niż w terminie 30 dni odpowiednio od dnia zawarcia umowy lub zaistnienia zmiany informacji o umowie, przy czym do tego terminu nie wlicza się dni, w których wystąpiła awaria systemu teleinformatycznego w którym rejestr ten jest prowadzony.

5. Realizacja praw osób, których dane dotyczą w kontekście CRU

Osobom fizycznym, których dane przetwarzane są w CRU przysługują uprawnienia określone w przepisach ogólnego rozporządzenia o ochronie danych. Osoba, której dane dotyczą ma prawo do uzyskania informacji o przetwarzaniu danych; żądania skorygowania informacji nieprawidłowych (poprawienia błędów, uaktualnienia nieaktualnych danych) oraz w niektórych przypadkach żądana usunięcia danych.  

5.1. Informowanie o przetwarzaniu danych, dostęp do danych

Oprócz informowania o przetwarzaniu danych w CRU przy zawieraniu umowy z kontrahentem, na administratorze danych ciąży obowiązek udostępnienia informacji o przetwarzaniu oraz umożliwienia dostępu do danych w trakcie ich przetwarzania. Na żądanie osoby, której dane dotyczą należy udostępnić jej informacje i umożliwić dostęp do danych, zgodnie z art. 15 rozporządzenia 2016/679. Z uwagi na to, że dane zawarte w CRU są jawne i dostępne w Internecie, osoba, której dane dotyczą może samodzielnie uzyskać dostęp do danych i pobrać kopię danych przetwarzanych w CRU.

5.2. Korygowanie danych

W przypadku, gdy osoba, której dane dotyczą wykaże, że wprowadzone do CRU dane są nieprawidłowe (zawierają błędy), bądź osoba uprawniona stwierdzi nieprawidłowość danych, dane osobowe powinny zostać skorygowane.

5.3. Aktualizacja danych

Jeżeli dane osobowe udostępnione w CRU są nieaktualne, osoba uprawniona do zamieszczania informacji w CRU powinna dokonać uaktualnienia takich danych. Informacja wskazująca podstawę dokonania aktualizacji powinna być zamieszczona w CRU, zgodnie z art. 34a ust. 7 pkt 10 u.f.p.

5.4. Usuwanie danych

Zgodnie z art. 34b ust. 6 u.f.p., informacje o umowie są usuwane z CRU po upływie pięciu lat, licząc od końca roku, w którym umowa przestała obowiązywać. W myśl art. 34b ust. 6 u.f.p. oraz rozporządzenia CRU, usuwanie danych stanowi obowiązek kierownika j.s.f.p. i powinno być realizowane przez osoby upoważnione do działania w imieniu j.s.f.p. - użytkowników konta j.s.f.p. w CRU.

6. Reagowanie na naruszenia ochrony danych w CRU

W przypadku podejrzenia lub stwierdzenia, że przetwarzanie danych osobowych w CRU stanowi naruszenie ochrony danych osobowych (np. w CRU ujawnione zostały informacje ingerujące w sferę prywatności osób fizycznych) osoba uprawniona do udostępniania danych w CRU ma obowiązek poinformować o tym administratora danych, który podejmuje stosowne działania naprawcze i zaradcze.