GIODO a ustawa 500+

Medialny szum jaki wywołała Ustawa z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (dalej ustawa 500+) wydaje się nie mieć końca i zmobilizowała mnie do napisania krótkiego artykułu pod tytułem stanowisko GIODO a ustawa 500+. Na każdym kroku słyszymy to o kolejnych problemach w związku z planowanymi zmianami. Przedmiotem dzisiejszego wpisu nie jest ocena zasadności wprowadzonej regulacji, ale przedstawienie obszernego stanowiska GIODO w tej sprawie. Wskażę dodatkowo na zmiany jakie zostaną wprowadzone w ustawie o ochronie danych osobowych (dalej ustawa) i wątpliwości powstałe na tym tle.

Rozdział 6 ustawy 500+ wskazuje na zmiany w przepisach obowiązującej ustawy o ochronie danych osobowych, które wejdą w życie z dniem 1 kwietnia 2016 r. Czytamy, że w rozdziale dotyczącym zasad przetwarzania danych osobowych, a dokładniej w art. 23 dodaje się ust. 2a w brzmieniu:

Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

I tu pojawiają się istotne problemy z punktu widzenia legalnego przetwarzania danych osobowych. Ustawa wskazuje na instytucję „administratora łącznego”. Moje obawy dotyczą: po pierwsze kto będzie zobowiązany do spełnienia obowiązku informacyjnego oraz kto będzie zgłaszał zbiory danych osobowych do biura GIODO?

Pewne problemy interpretacyjne budzi także pojęcie interesu publicznego. W praktyce organ, który nie jest właściwy w sprawie tzn. w normalnych warunkach nie miałby dostępu do tych danych, uzyska do nich dostęp. Podstawą przetwarzania będzie właśnie powołanie się na interes publiczny. Zamiast ograniczyć katalog osób uprawnionych do dostępu do danych, katalog ten jest bliżej nieokreślony, a co za tym idzie bardzo szeroki i rozbudowany. Nie jest to zgodne z zasadami techniki prawodawczej, w tym zasady jasności i precyzyjności pojęć prawnych używanych na gruncie aktów prawnych.

Kolejna zmiana dotyczy umów powierzenia. Jak czytamy w ustawie 500+ nie będzie konieczności zawierania umów powierzenia przetwarzania danych w tym przekazywania danych pomiędzy niektórymi podmiotami wskazanymi w ustawie o ochronie danych osobowych (organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne). To rozwiązanie również może stwarzać problemy w praktyce. Moje główne zastrzeżenia dotyczą tego, iż w efekcie może do dowolności przy powierzaniu danych osobowych. Brak jasno określonych zasad, w praktyce, może prowadzić do wielu nadużyć. Kolokwialnie mówiąc podmiot zlecający przetwarzanie danych osobowych nie będzie miał pewności co do bezpieczeństwa przekazywanych danych osobowych, a więc tego czy dostęp do danych osobowych będzie ograniczony wyłącznie do osób upoważnionych do ich przetwarzania. Obecnie zawierane umowy powierzenia umożliwiają zastosowanie rozwiązań zwiększających bezpieczeństwo danych osobowych. Standardowe postanowienia można wzbogacić  o dodatki takie jak prawo do przeprowadzania kontroli czy kary umowne.

W stanowisku z dnia 9 lutego 2016 r.[1] GIODO stwierdził, że projektowane zmiany ustawy o ochronie danych osobowych stoją w sprzeczności z przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych szczególnie w kontekście instytucji „administratora łącznego”.

GIODO wskazuje, że przyjęte rozwiązanie może zniweczyć instytucję administratora danych, a w szczególności kontekst jego jednoznacznej identyfikacji.

Jakie kolejne zmiany z punktu widzenia ochrony danych osobowych zostały przyjęte na gruncie Ustawy 500+? W piśmie GIODO wskazuje na konieczność sprecyzowania zakresu zbieranych danych w przypadku ubiegania się o świadczenia wychowawcze. Jak czytamy w art. 13 ust. 3 Ustawy 500+ wniosek zawiera dane dotyczące:

  1. osoby występującej o przyznanie świadczenia wychowawczego, w tym: imię, nazwisko, adres miejsca zamieszkania, miejsce zamieszkania, stan cywilny, obywatelstwo, płeć, numer PESEL, a w przypadku gdy nie nadano numeru PESEL – numer i serię dokumentu potwierdzającego tożsamość oraz adres poczty elektronicznej;
  2. dzieci pozostających na utrzymaniu osoby, o której mowa w ust. 1, w tym: imię, nazwisko, datę urodzenia, stan cywilny, obywatelstwo, płeć, numer PESEL, a w przypadku gdy nie nadano numeru PESEL – numer i serię dokumentu potwierdzającego tożsamość.

Oprócz informacji o których mowa powyżej do wniosku załącza się odpowiednio zaświadczenia lub oświadczenia dokumentujące wysokość innych dochodów niż dochody podlegające opodatkowaniu podatkiem dochodowym od osób fizycznych, oświadczenie o deklarowanych dochodach osiąganych przez osoby podlegające przepisom o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, zaświadczenia lub oświadczenia oraz dowody niezbędne do ustalenia prawa do świadczenia wychowawczego.

Jak wskazano w dalszych przepisach Ustawy 500+ wnioski i załączniki do wniosku mogą być składane drogą elektroniczną za pomocą stworzonego systemu teleinformatycznego.

Stanowisko GIODO a ustawa 500+. Jak czytamy:

  1. W przypadku administratorów danych nie ma mowy o odpowiedzialności solidarnej. Każdy z administratorów odpowiada za przetwarzanie danych w określonym i wyznaczonym zakresie. Nie można w jakikolwiek sposób wyłączyć odpowiedzialności jednego z administratorów.
  2. GIODO zauważył, że instytucja powierzenia przetwarzania danych osobowych na podstawie przepisów prawa jest co do zasady dopuszczalna przez prawo europejskie. Zgodnie z art. 17 ust. 3 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych. Niemniej w praktyce mogą powstać pewne problemy. Istnieje zatem konieczność stworzenia jasno określonych zasad w omawianym przypadku. Zasady te powinny zmierzać do kompleksowego określenia zasad jakie zawarte są w typowych umowach powierzenia. Wszystkie te unormowania zmierzać powinny do zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
  3. Obowiązek rejestracji zbiorów danych osobowych prowadzony w celu realizacji tzw. Programu Rodzina 500+ spoczywa na gminie, a w przypadku upoważnienia do prowadzenia postępowań w sprawie przyznania świadczenia rodzinnego i wydawania decyzji – na ośrodku pomocy społecznej lub innej jednostce organizacyjnej gminy i to właśnie te podmioty powinny przeanalizować konieczność rejestracji zbioru danych osobowych.
  4. Zbiór danych osobowych prowadzony w celu realizacji świadczenia wychowawczego w związku z koordynacją systemów zabezpieczenia społecznego powinien być zgłoszony do rejestracji przez województwo, a w przypadku upoważnienia do prowadzenia postępowań i wydawania decyzji – zgłoszenia powinien dokonać regionalny ośrodek pomocy społecznej.

Warto dodać, że w obecnym stanie prawnym administratorzy danych wdrażający program 500+ rejestrują oddzielnie zbiory danych osobowych do biura GIODO co każdy może sprawdzić na platformie egiodo.giodo.gov.pl.

Jak widać opinii i wyjaśnień GIODO do Ustawy 500+ jest dużo. Nie ulega wątpliwości, że to tylko wierzchołek góry lodowej. Problemy jakie powstaną w praktyce na pewno spędzą sen z powiek niejednemu administratorowi danych. Jak zauważył GIODO w uwagach końcowych jednego z wystąpień będzie on dążył do właściwej organizacji procesu przetwarzania danych osobowych, a także respektowania praw osób, których dane dotyczą.

[1] Pismo GIODO do Adama Podgórskiego Zastępcy Szefa Kancelarii Sejmu (DOLiS-033-32/16)