500+ zamieszało w ustawie o ochronie danych osobowych!
Dodano: 01-03-2016 w kategorii: Prawa osób, których dane dotyczą. Dodane przez: Katarzyna Witkowska.
Ustawa z 11 lutego 2016 roku o pomocy państwa w wychowaniu dzieci, która wejdzie w życie 1 kwietnia br. wprowadziła fundamentalne zmiany w ustawie o ochronie danych osobowych.
Przepisy ustawy o pomocy państwa - które regulują zakres zbieranych danych i dostęp organów administracji do tych danych - kłócą się z zasadami ochrony danych osobowych funkcjonującymi w polskim porządku prawnym.
Dwa urzędy jako jeden?
Art. 38 ww. ustawy o pomocy państwa w wychowaniu dzieci przewiduje wprowadzenie zmian w dwóch przepisach ustawy o ochronie danych osobowych. Zmian nie jest więc dużo. Są za to bardzo istotne.
Organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne mają być uważane za jednego administratora danych, jeżeli przetwarzanie przez nie danych służy temu samemu interesowi publicznemu. Mamy więc w ustawie nową kategorię administratora. Znajdzie się ona w art. 23, poświęconym przesłankom przetwarzania (jako art. 23 ust. 2a). Nie tylko więc sam przepis, ale jego umiejscowienie w art. 23 budzą duże wątpliwości.
Przede wszystkim, powstaje pytanie, kiedy podmioty publiczne przetwarzają dane w tym samym interesie publicznym. Krytycy zmian słusznie podkreślają, że w ogólnym rozrachunku cała administracja państwowa i samorządowa działa w interesie publicznym. Pojęcie interesu publicznego czy kryteria przyjęcia, kiedy mamy do czynienia z tym samym interesem publicznym nie są w ustawie w żaden sposób wyjaśnione.
Czy to oznacza, że cała administracja może być uznana za jednego administratora danych? Poza tym, podkreślić trzeba, jakie są konsekwencje przyjęcia, że rządowej i organy administracji samorządowej traktowane mają być jako jeden administrator (o ile przetwarzają dane w tym samym interesie publicznym).
Do którego z tych organów mamy się zwrócić, jeżeli chcemy zrealizować nasze uprawnienia wynikające z ustawy o ochronie danych osobowych? Kto ponosi odpowiedzialność za przetwarzanie danych osobowych? Skoro podmioty publiczne mają być traktowane jak jeden administrator – odpowiada każdy z nich? Czy praktyce nie dojdzie do sytuacji, że nie będzie odpowiadał żaden? W końcu powstaje pytanie o to, jak takie ujęcie administratora ma się do właściwości miejscowej i rzeczowej organów i do podziału zadań między odpowiednie jednostki. Idąc dalej, można również zastanowić się, co z realizacją obowiązków rejestracyjnych przez takich administratorów, jak zrealizować obowiązki zabezpieczenia danych, jeżeli dane będą swobodnie przepływać między administratorami?
Nowe, europejskie rozporządzenie ogólne przewiduje wprowadzenie konstrukcji współadministratorów, więc de facto taka zamiana w przepisach dotyczących ochrony danych osobowych ma nastąpić. Jednak art. 26 rozporządzenia ogólnego zakłada, że współadministratorzy mają obowiązek określenia w sposób przejrzysty podziału zadań wynikających z przepisów rozporządzenia, a w szczególności określają, jak podmiot danych ma korzystać z przysługujących mu praw.
Niezależnie od tych ustaleń osoba, której dane dotyczą będzie mogła korzystać z przysługujących jej praw w odniesieniu do każdego administratora i przeciwko każdemu z nich. Przepisy europejskie będą więc wskazywały pewne istotne ramy łącznego funkcjonowania dwóch lub więcej administratorów. Tego niestety wprowadzając zmiany do ustawy o ochronie danych osobowych nie przewidziano.
Jak było do tej pory?
Oczywiście, przekazywanie danych w obrębie administracji funkcjonuje od zawsze. Inne były jednak podstawy takiego działania.
W jeszcze obowiązującym stanie prawnym, aby przekazać dane np. między dwoma ministerstwami, konieczne jest wykazanie, że istnieje odpowiednia przesłanka takiego udostępnienia danych – w przypadku administracji jest nią odpowiedni przepis prawa. Udostępnienie oznacza, że zarówno podmiot przekazujący dane, jak i ich odbiorca to dwaj niezależni administratorzy, z których każdy odpowiada w pełni za realizację obowiązków wynikających z ustawy.
Nowy przepis art. 23 ust. 2a ustawy zakłada, że podmioty te będą traktowane jako jeden administrator i nie będzie dochodziło między nimi do udostępnienia danych, a to oznacza, że nie będą musiały wykazywać przesłanki przetwarzania, aby dane otrzymać. Wydaje się, że wobec umiejscowienia nowego przepisu w art. 23 dotyczącym przesłanek przetwarzania, swoistą przesłanką współadministrowania stał się interes publiczny.
Nowości także w powierzeniu
Zmiany wprowadzone art. 38 ustawy o pomocy państwa w wychowaniu dzieci dotknęły także art. 31 ustawy o ochronie danych osobowych.
W tym artykule wprowadzono ustęp 2a, który zakłada, że „nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1 powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1" ustawy o ochronie danych osobowych.
Ten nowy przepis oznacza z kolei, że miedzy organami administracji nie będą już podpisywane umowy powierzenia. Wprowadzając zmiany nie wyłączono jednak w stosunku do podmiotów publicznych stosowania pozostałych przepisów dotyczących powierzenia. Pamiętać trzeba, że w umowach powierzenia ustalany jest cały szereg wytycznych do co przetwarzania danych, regulowane są kwestie odpowiedzialności za przetwarzanie danych między podmiotami. Brak umów prowadzić może do dużej dowolności i swobody w powierzaniu. Z drugiej strony, administracja może działać tylko w takich granicach, jakie wytycza jej prawo, więc ryzyko dowolności powierzania jest dużo mniejsze niż byłoby w przypadku podmiotów prywatnych.
Zmiany sprzeczne z przepisami i orzecznictwem UE
Wprowadzone zmiany pozostają w sprzeczności z orzecznictwem Trybunału Sprawiedliwości UE. Przywołać można tutaj wyrok w sprawie Smaranda Bara i in. (C-201/14), dotyczący przekazywania przez rumuńskie organy podatkowe oraz organy odpowiedzialne za służbę zdrowia na podstawie wewnętrznych porozumień m.in. danych podatników. Osią sprawy było pytanie o to, czy organy administracji mają prawo do przekazywania sobie danych obywateli bez ich zgody i wiedzy. Trybunał orzekł, że nie. Przekazywanie danych między organami administracji nie może odbywać się bez wiedzy osób, których dane dotyczą. W przypadku zastosowania konstrukcji współadministratorów takie sytuacje mogą mieć miejsce.
Problem także z rejestracją zbiorów
Aby złożyć wniosek o przyznanie świadczenia wychowawczego w ramach programu 500 + podać trzeba wiele danych, w tym także danych wrażliwych.
Aby administrator mógł te dane przetwarzać, zgodnie z art. 40 w związku z art. 46 ustawy o ochronie danych osobowych, musi odpowiedni zbiór danych zgłosić do GIODO. A ponieważ zbiór zawiera dane wrażliwe, przetwarzanie może rozpocząć dopiero po zarejestrowaniu zbioru danych przez GIODO.
Wprowadzając zmiany do ustawy, nie przewidziano wprowadzenia zwolnienia z obowiązku rejestracji zbiorów tworzonych w związku z programem 500+ , więc obowiązek rejestracji istnieje.
Nie ulega wątpliwości, że GIODO nie będzie w stanie zarejestrować zbiorów zgłaszanych przez gminy w związku z rozpoczęciem programu. Oczywiście nie należy zakładać, że z tego powodu funkcjonowanie programu mogłoby zostać opóźnione, jednak należy o tym aspekcie wspomnieć. Dowodzi on bowiem, że wprowadzając zmiany do ustawy o ochronie danych osobowych nie spojrzano na nią jako na całość.
Ministerstwo Pracy i Polityki Społecznej wydało komunikat, w którym podkreśliło, że „Nie ma żadnego zagrożenia dla terminu wejścia w życie ustawy (czyli 1 kwietnia 2016 r.) i rozpoczęcia wypłat świadczeń wychowawczych dla rodzin. Żaden przepis ustawy o pomocy państwa w wychowywaniu dzieci nie uzależnia wejścia w życia ustawy od uprzedniego zgłoszenia przez gminę zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych". Zgodzić się należy ze stanowiskiem, że żaden przepis ustawy o pomocy państwa […] nie uzależnia wejścia w życie ustawy o zgłoszenia i zarejestrowania zbioru w GIODO. Jednak trzeba pamiętać, że przepisy obowiązującej ustawy, wprost przewidują możliwość przetwarzania zbioru zawierającego dane wrażliwe tylko wtedy, gdy zbiór ten zostanie zarejestrowany przez GIODO (chyba, że administrator korzysta ze zwolnienia).
Wymóg ten nie ma nic wspólnego z możliwością wejścia w życie przepisów innego aktu prawnego, a dotyczy możliwości przetwarzania danych – w tym wypadku danych zwartych we wnioskach o przyznanie świadczenia.
Trudno więc odnieść się z aprobatą do zmian wprowadzonych do ustawy o ochronie danych osobowych przez ustawę o pomocy państwa w wychowaniu dzieci. Wprowadzono je bez przemyślenia ich konsekwencji i analizy całokształtu przepisów o ochronie danych osobowych.
Katarzyna Witkowska
e-mail: