Najbardziej powszechnym problemem jest wyodrębnienie administratorów danych w jednostkach samorządu terytorialnego. Gmina, jako podstawowa jednostka samorządu terytorialnego, bardzo często współistnieje w jednej lokalizacji z powołanymi przez siebie jednostkami organizacyjnymi, w tym np. gminnym zespołem ds. oświaty czy pomocy społecznej. Status prawny tych jednostek, niestety, nie został jednoznacznie zdefiniowany przez ustawodawcę. Z jednej strony mogą to być jednostki prawnie, niewyodrębnione od gminy, tj. nieposiadające osobowości prawnej ani zdolności do czynności prawnych, a z drugiej strony mogą posiadać taką osobowość jako np. sp. z o.o. lub S.A., stanowiące własność gminy.
Z punktu widzenia ustawy o ochronie danych osobowych drugi przypadek nie pozostawia wątpliwości – niezależnie od statusu własnościowego gminy, administratorem danych jest spółka kapitałowa. Jednak w sytuacji, gdy jednostki organizacyjne nie posiadają osobowości prawnej i zdolności do czynności prawnych trudno jest uznać, iż decydują o celach i środkach przetwarzania danych osobowych. W związku z powyższym należałoby uznać, iż nie są odrębnym administratorem danych. Przykładowo, zgodnie z wytyczną GIODO, administratorem danych osobowych zbioru danych osobowych „500 plus” jest ten podmiot, który faktycznie decyduje o celach i środkach przetwarzania danych w konkretnym zbiorze danych:
Generalny Inspektor Ochrony Danych Osobowych informuje, iż zbiór danych osobowych prowadzony w celu realizacji tzw. Programu Rodzina 500+ powinna zgłosić gmina, a w przypadku upoważnienia do prowadzenia postępowań w sprawie przyznania świadczenia rodzinnego i wydawania decyzji – zbiór powinien być zgłoszony przez ośrodek pomocy społecznej lub inną jednostkę organizacyjną gminy.1
Wspólny administrator – nowelizacja.
Pomimo powyższych wyjaśnień problem w zakresie identyfikacji administratora danych osobowych istnieje nadal ze względu na następujące przepisy:
Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.2
Uznanie dwóch podmiotów za jednego administratora danych burzy cały porządek prawa ochrony danych osobowych, gdyż uniemożliwia jednoznaczne przypisanie obowiązków ustawowych do jednego konkretnego podmiotu, a co za tym idzie uniemożliwia wyciągnięcie odpowiedzialności. Zgodnie z opinią postulowaną w literaturze, problem ten może być jeszcze szerszy:
[…] przyjęte właśnie w Polsce rozwiązanie jest nie tylko nieznane w prawie unijnym, lecz także może prowadzić do niewykonywania obowiązków ochrony danych. Niejasna jest przesłanka istnienia „wspólnego administratora” i trudno ustalić, kto ma stwierdzić jej występowanie. Taki administrator nie posiada własnego ustroju, nie wiadomo kto i na jakich zasadach go reprezentuje. Wreszcie samej osobie, której dane dotyczą, nie można wskazać, wobec kogo konkretnie może realizować swoje uprawnienia.3
Kolejny niejasny przepis wprowadza jeszcze więcej zamieszania, gdyż co do zasady nie ma konieczności zawierania umów powierzenia przetwarzania danych osobowych w relacjach pomiędzy podmiotami sektora publicznego, gdyż to nie podmioty decydują o przekazaniu danych, a jest to uregulowane przepisami prawa. Zgodnie z zasadą konstytucyjną podmioty sektora publicznego działają na podstawie i w granicach przepisów prawa. W związku z powyższym w procesie tym dochodzi do przekazywania danych, a nie ich powierzania.
Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.4
W związku z powyższym cel i uzasadnienie istnienia powyższego przepisu jest niezrozumiałe i może budzić kolejne kontrowersje. Jedyna nadzieja w Rozporządzeniu ogólnym UE w sprawie ochrony danych osobowych, które ma zastąpić obecny porządek prawny w zakresie ochrony danych osobowych już od 24 maja 2018 r.