×
Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

500+ zamieszało w ustawie o ochronie danych osobowych!

Dodano: Marzec 1, 2016 Kategoria: Podmiot danych Autor: Katarzyna Witkowska-Nowakowska

Ustawa z 11 lutego 2016 roku o pomocy państwa w wychowaniu dzieci, która wchodzi w życie 1 kwietnia br. wprowadziła fundamentalne zmiany w ustawie o ochronie danych osobowych.

Przepisy ustawy o pomocy państwa – które regulują zakres zbieranych danych i dostęp organów administracji do tych danych – kłócą się z zasadami ochrony danych osobowych funkcjonującymi w polskim porządku prawnym (Alert: stanowisko GIODO w sprawie interpretacji nowych przepisów)

Dwa urzędy jako jeden?

Art. 38 ww. ustawy o pomocy państwa w wychowaniu dzieci przewiduje wprowadzenie zmian w dwóch przepisach ustawy o ochronie danych osobowych. Zmian nie jest więc dużo. Są za to bardzo istotne.

Organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne mają być uważane za jednego administratora danych, jeżeli przetwarzanie przez nie danych służy temu samemu interesowi publicznemu. Mamy więc w ustawie nową kategorię administratora. Znajdzie się ona w art. 23, poświęconym przesłankom przetwarzania (jako art. 23 ust. 2a). Nie tylko więc sam przepis, ale jego umiejscowienie w art. 23 budzą duże wątpliwości.

Przede wszystkim, powstaje pytanie, kiedy podmioty publiczne przetwarzają dane w tym samym interesie publicznym. Krytycy zmian słusznie podkreślają, że w ogólnym rozrachunku cała administracja państwowa i samorządowa działa w interesie publicznym. Pojęcie interesu publicznego czy kryteria przyjęcia, kiedy mamy do czynienia z tym samym interesem publicznym nie są w ustawie w żaden sposób wyjaśnione.

Czy to oznacza, że cała administracja może być uznana za jednego administratora danych? Poza tym, podkreślić trzeba, jakie są konsekwencje przyjęcia, że rządowej i organy administracji samorządowej traktowane mają być jako jeden administrator (o ile przetwarzają dane w tym samym interesie publicznym).

Do którego z tych organów mamy się zwrócić, jeżeli chcemy zrealizować nasze uprawnienia wynikające z ustawy o ochronie danych osobowych? Kto ponosi odpowiedzialność za przetwarzanie danych osobowych? Skoro podmioty publiczne mają być traktowane jak jeden administrator – odpowiada każdy z nich? Czy praktyce nie dojdzie do sytuacji, że nie będzie odpowiadał żaden? W końcu powstaje pytanie o to, jak takie ujęcie administratora ma się do właściwości miejscowej i rzeczowej organów i do podziału zadań między odpowiednie jednostki. Idąc dalej, można również zastanowić się, co z realizacją obowiązków rejestracyjnych przez takich administratorów, jak zrealizować obowiązki zabezpieczenia danych, jeżeli dane będą swobodnie przepływać między administratorami?

Nowe, europejskie rozporządzenie ogólne przewiduje wprowadzenie konstrukcji współadministratorów, więc de facto taka zamiana w przepisach dotyczących ochrony danych osobowych ma nastąpić. Jednak art. 26 rozporządzenia ogólnego zakłada, że współadministratorzy mają obowiązek określenia w sposób przejrzysty podziału zadań wynikających z przepisów rozporządzenia, a w szczególności określają, jak podmiot danych ma korzystać z przysługujących mu praw.

Niezależnie od tych ustaleń osoba, której dane dotyczą będzie mogła korzystać z przysługujących jej praw w odniesieniu do każdego administratora i przeciwko każdemu z nich. Przepisy europejskie będą więc wskazywały pewne istotne ramy łącznego funkcjonowania dwóch lub więcej administratorów. Tego niestety wprowadzając zmiany do ustawy o ochronie danych osobowych nie przewidziano.

Jak było do tej pory?

Oczywiście, przekazywanie danych w obrębie administracji funkcjonuje od zawsze. Inne były jednak podstawy takiego działania.

W jeszcze obowiązującym stanie prawnym, aby przekazać dane np. między dwoma ministerstwami, konieczne jest wykazanie, że istnieje odpowiednia przesłanka takiego udostępnienia danych – w przypadku administracji jest nią odpowiedni przepis prawa. Udostępnienie oznacza, że zarówno podmiot przekazujący dane, jak i ich odbiorca to dwaj niezależni administratorzy, z których każdy odpowiada w pełni za realizację obowiązków wynikających z ustawy.

Nowy przepis art. 23 ust. 2a ustawy zakłada, że podmioty te będą traktowane jako jeden administrator i nie będzie dochodziło między nimi do udostępnienia danych, a to oznacza, że nie będą musiały wykazywać przesłanki przetwarzania, aby dane otrzymać. Wydaje się, że wobec umiejscowienia nowego przepisu w art. 23 dotyczącym przesłanek przetwarzania, swoistą przesłanką współadministrowania stał się interes publiczny.

Nowości także w powierzeniu

Zmiany wprowadzone art. 38 ustawy o pomocy państwa w wychowaniu dzieci dotknęły także art. 31 ustawy o ochronie danych osobowych.

W tym artykule wprowadzono ustęp 2a, który zakłada, że „nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1 powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1″ ustawy o ochronie danych osobowych.

Ten nowy przepis oznacza z kolei, że miedzy organami administracji nie będą już podpisywane umowy powierzenia. Wprowadzając zmiany nie wyłączono jednak w stosunku do podmiotów publicznych stosowania pozostałych przepisów dotyczących powierzenia. Pamiętać trzeba, że w umowach powierzenia ustalany jest cały szereg wytycznych do co przetwarzania danych, regulowane są kwestie odpowiedzialności za przetwarzanie danych między podmiotami. Brak umów prowadzić może do dużej dowolności i swobody w powierzaniu. Z drugiej strony, administracja może działać tylko w takich granicach, jakie wytycza jej prawo, więc ryzyko dowolności powierzania jest dużo mniejsze niż byłoby w przypadku podmiotów prywatnych.

Zmiany sprzeczne z przepisami i orzecznictwem UE

Wprowadzone zmiany pozostają w sprzeczności z orzecznictwem Trybunału Sprawiedliwości UE. Przywołać można tutaj wyrok w sprawie Smaranda Bara i in. (C-201/14), dotyczący przekazywania przez rumuńskie organy podatkowe oraz organy odpowiedzialne za służbę zdrowia na podstawie wewnętrznych porozumień m.in. danych podatników. Osią sprawy było pytanie o to, czy organy administracji mają prawo do przekazywania sobie danych obywateli bez ich zgody i wiedzy. Trybunał orzekł, że nie. Przekazywanie danych między organami administracji nie może odbywać się bez wiedzy osób, których dane dotyczą. W przypadku zastosowania konstrukcji współadministratorów takie sytuacje mogą mieć miejsce.

Problem także z rejestracją zbiorów

Aby złożyć wniosek o przyznanie świadczenia wychowawczego w ramach programu 500 + podać trzeba wiele danych, w tym także danych wrażliwych.

Aby administrator mógł te dane przetwarzać, zgodnie z art. 40 w związku z art. 46 ustawy o ochronie danych osobowych, musi odpowiedni zbiór danych zgłosić do GIODO. A ponieważ zbiór zawiera dane wrażliwe, przetwarzanie może rozpocząć dopiero po zarejestrowaniu zbioru danych przez GIODO.

Wprowadzając zmiany do ustawy, nie przewidziano wprowadzenia zwolnienia z obowiązku rejestracji zbiorów tworzonych w związku z programem 500+ , więc obowiązek rejestracji istnieje.

Nie ulega wątpliwości, że GIODO nie będzie w stanie zarejestrować zbiorów zgłaszanych przez gminy w związku z rozpoczęciem programu. Oczywiście nie należy zakładać, że z tego powodu funkcjonowanie programu mogłoby zostać opóźnione, jednak należy o tym aspekcie wspomnieć. Dowodzi on bowiem, że wprowadzając zmiany do ustawy o ochronie danych osobowych nie spojrzano na nią jako na całość.

Ministerstwo Pracy i Polityki Społecznej wydało komunikat, w którym podkreśliło, że „Nie ma żadnego zagrożenia dla terminu wejścia w życie ustawy (czyli 1 kwietnia 2016 r.) i rozpoczęcia wypłat świadczeń wychowawczych dla rodzin. Żaden przepis ustawy o pomocy państwa w wychowywaniu dzieci nie uzależnia wejścia w życia ustawy od uprzedniego zgłoszenia przez gminę zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych”. Zgodzić się należy ze stanowiskiem, że żaden przepis ustawy o pomocy państwa […] nie uzależnia wejścia w życie ustawy o zgłoszenia i zarejestrowania zbioru w GIODO. Jednak trzeba pamiętać, że przepisy obowiązującej ustawy, wprost przewidują możliwość przetwarzania zbioru zawierającego dane wrażliwe tylko wtedy, gdy zbiór ten zostanie zarejestrowany przez GIODO (chyba, że administrator korzysta ze zwolnienia).

Wymóg ten nie ma nic wspólnego z możliwością wejścia w życie przepisów innego aktu prawnego, a dotyczy możliwości przetwarzania danych – w tym wypadku danych zwartych we wnioskach o przyznanie świadczenia.

Trudno więc odnieść się z aprobatą do zmian wprowadzonych do ustawy o ochronie danych osobowych przez ustawę o pomocy państwa w wychowaniu dzieci. Wprowadzono je bez przemyślenia ich konsekwencji i analizy całokształtu przepisów o ochronie danych osobowych.

Post Views: 1 925

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.