GIODO a ustawa 500+

Medialny szum jaki wywołała Ustawa z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (dalej ustawa 500+) wydaje się nie mieć końca i zmobilizowała mnie do napisania krótkiego artykułu pod tytułem stanowisko GIODO a ustawa 500+. Na każdym kroku słyszymy to o kolejnych problemach w związku z planowanymi zmianami. Przedmiotem dzisiejszego wpisu nie jest ocena zasadności wprowadzonej regulacji, ale przedstawienie obszernego stanowiska GIODO w tej sprawie. Wskażę dodatkowo na zmiany jakie zostaną wprowadzone w ustawie o ochronie danych osobowych (dalej ustawa) i wątpliwości powstałe na tym tle.

Rozdział 6 ustawy 500+ wskazuje na zmiany w przepisach obowiązującej ustawy o ochronie danych osobowych, które wejdą w życie z dniem 1 kwietnia 2016 r. Czytamy, że w rozdziale dotyczącym zasad przetwarzania danych osobowych, a dokładniej w art. 23 dodaje się ust. 2a w brzmieniu:

Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

I tu pojawiają się istotne problemy z punktu widzenia legalnego przetwarzania danych osobowych. Ustawa wskazuje na instytucję „administratora łącznego”. Moje obawy dotyczą: po pierwsze kto będzie zobowiązany do spełnienia obowiązku informacyjnego oraz kto będzie zgłaszał zbiory danych osobowych do biura GIODO?

Pewne problemy interpretacyjne budzi także pojęcie interesu publicznego. W praktyce organ, który nie jest właściwy w sprawie tzn. w normalnych warunkach nie miałby dostępu do tych danych, uzyska do nich dostęp. Podstawą przetwarzania będzie właśnie powołanie się na interes publiczny. Zamiast ograniczyć katalog osób uprawnionych do dostępu do danych, katalog ten jest bliżej nieokreślony, a co za tym idzie bardzo szeroki i rozbudowany. Nie jest to zgodne z zasadami techniki prawodawczej, w tym zasady jasności i precyzyjności pojęć prawnych używanych na gruncie aktów prawnych.

Kolejna zmiana dotyczy umów powierzenia. Jak czytamy w ustawie 500+ nie będzie konieczności zawierania umów powierzenia przetwarzania danych w tym przekazywania danych pomiędzy niektórymi podmiotami wskazanymi w ustawie o ochronie danych osobowych (organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne). To rozwiązanie również może stwarzać problemy w praktyce. Moje główne zastrzeżenia dotyczą tego, iż w efekcie może do dowolności przy powierzaniu danych osobowych. Brak jasno określonych zasad, w praktyce, może prowadzić do wielu nadużyć. Kolokwialnie mówiąc podmiot zlecający przetwarzanie danych osobowych nie będzie miał pewności co do bezpieczeństwa przekazywanych danych osobowych, a więc tego czy dostęp do danych osobowych będzie ograniczony wyłącznie do osób upoważnionych do ich przetwarzania. Obecnie zawierane umowy powierzenia umożliwiają zastosowanie rozwiązań zwiększających bezpieczeństwo danych osobowych. Standardowe postanowienia można wzbogacić  o dodatki takie jak prawo do przeprowadzania kontroli czy kary umowne.

W stanowisku z dnia 9 lutego 2016 r.[1] GIODO stwierdził, że projektowane zmiany ustawy o ochronie danych osobowych stoją w sprzeczności z przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych szczególnie w kontekście instytucji „administratora łącznego”.

GIODO wskazuje, że przyjęte rozwiązanie może zniweczyć instytucję administratora danych, a w szczególności kontekst jego jednoznacznej identyfikacji.

Jakie kolejne zmiany z punktu widzenia ochrony danych osobowych zostały przyjęte na gruncie Ustawy 500+? W piśmie GIODO wskazuje na konieczność sprecyzowania zakresu zbieranych danych w przypadku ubiegania się o świadczenia wychowawcze. Jak czytamy w art. 13 ust. 3 Ustawy 500+ wniosek zawiera dane dotyczące:

  1. osoby występującej o przyznanie świadczenia wychowawczego, w tym: imię, nazwisko, adres miejsca zamieszkania, miejsce zamieszkania, stan cywilny, obywatelstwo, płeć, numer PESEL, a w przypadku gdy nie nadano numeru PESEL – numer i serię dokumentu potwierdzającego tożsamość oraz adres poczty elektronicznej;
  2. dzieci pozostających na utrzymaniu osoby, o której mowa w ust. 1, w tym: imię, nazwisko, datę urodzenia, stan cywilny, obywatelstwo, płeć, numer PESEL, a w przypadku gdy nie nadano numeru PESEL – numer i serię dokumentu potwierdzającego tożsamość.

Oprócz informacji o których mowa powyżej do wniosku załącza się odpowiednio zaświadczenia lub oświadczenia dokumentujące wysokość innych dochodów niż dochody podlegające opodatkowaniu podatkiem dochodowym od osób fizycznych, oświadczenie o deklarowanych dochodach osiąganych przez osoby podlegające przepisom o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, zaświadczenia lub oświadczenia oraz dowody niezbędne do ustalenia prawa do świadczenia wychowawczego.

Jak wskazano w dalszych przepisach Ustawy 500+ wnioski i załączniki do wniosku mogą być składane drogą elektroniczną za pomocą stworzonego systemu teleinformatycznego.

Stanowisko GIODO a ustawa 500+. Jak czytamy:

  1. W przypadku administratorów danych nie ma mowy o odpowiedzialności solidarnej. Każdy z administratorów odpowiada za przetwarzanie danych w określonym i wyznaczonym zakresie. Nie można w jakikolwiek sposób wyłączyć odpowiedzialności jednego z administratorów.
  2. GIODO zauważył, że instytucja powierzenia przetwarzania danych osobowych na podstawie przepisów prawa jest co do zasady dopuszczalna przez prawo europejskie. Zgodnie z art. 17 ust. 3 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych. Niemniej w praktyce mogą powstać pewne problemy. Istnieje zatem konieczność stworzenia jasno określonych zasad w omawianym przypadku. Zasady te powinny zmierzać do kompleksowego określenia zasad jakie zawarte są w typowych umowach powierzenia. Wszystkie te unormowania zmierzać powinny do zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
  3. Obowiązek rejestracji zbiorów danych osobowych prowadzony w celu realizacji tzw. Programu Rodzina 500+ spoczywa na gminie, a w przypadku upoważnienia do prowadzenia postępowań w sprawie przyznania świadczenia rodzinnego i wydawania decyzji – na ośrodku pomocy społecznej lub innej jednostce organizacyjnej gminy i to właśnie te podmioty powinny przeanalizować konieczność rejestracji zbioru danych osobowych.
  4. Zbiór danych osobowych prowadzony w celu realizacji świadczenia wychowawczego w związku z koordynacją systemów zabezpieczenia społecznego powinien być zgłoszony do rejestracji przez województwo, a w przypadku upoważnienia do prowadzenia postępowań i wydawania decyzji – zgłoszenia powinien dokonać regionalny ośrodek pomocy społecznej.

Warto dodać, że w obecnym stanie prawnym administratorzy danych wdrażający program 500+ rejestrują oddzielnie zbiory danych osobowych do biura GIODO co każdy może sprawdzić na platformie egiodo.giodo.gov.pl.

Jak widać opinii i wyjaśnień GIODO do Ustawy 500+ jest dużo. Nie ulega wątpliwości, że to tylko wierzchołek góry lodowej. Problemy jakie powstaną w praktyce na pewno spędzą sen z powiek niejednemu administratorowi danych. Jak zauważył GIODO w uwagach końcowych jednego z wystąpień będzie on dążył do właściwej organizacji procesu przetwarzania danych osobowych, a także respektowania praw osób, których dane dotyczą.

[1] Pismo GIODO do Adama Podgórskiego Zastępcy Szefa Kancelarii Sejmu (DOLiS-033-32/16)

Zmiana ustawy o ochronie danych osobowych i nowe rozporządzenie wykonawcze

W dniu dzisiejszym wchodzą w życie ostatnie zmiany w ustawie o ochronie danych Ministerstwo Administracji i Cyfryzacjiosobowych, które m.in. ustanawiają rejestr ABI i rejestr zbiorów danych osobowych. W związku z powyższym, zaktualizowaliśmy tekst ustawy o ochronie danych osobowych, który jest zamieszczony w naszym serwisie, a dodatkowo zamieszczamy także aktualny tekst rozporządzenia w sprawie powołania i odwołania Administratora Bezpieczeństwa Informacji. Poniżej znajdą Państwo aktualne akty prawne w formacie PDF (o rejestrze ABI pisaliśmy tutaj, a o nowelizacji ustawy o ochronie danych osobowych tutaj). Niestety nadal czekamy na opublikowanie przez Ministra Andrzeja Halickiego ostatecznej treści rozporządzenia w sprawie prowadzenia ksiąg rejestrowych dot. zbiorów danych osobowych.

  1. Ustawa o ochronie danych osobowych
  2. Rozporządzenie w sprawie powołania i odwołania ABI
  3. Wzór wniosku w sprawie powołania ABI
  4. Wzór wniosku w sprawie odwołania ABI

Powołanie, odwołanie i rejestr ABI – zmiany w przepisach (część I)

Ministerstwo administracji i cyfryzacji

Minister Administracji i Cyfryzacji opracował projekty nowych rozporządzeń wykonawczych do znowelizowanej ustawy o ochronie danych osobowych. Dotyczą one wzoru zgłoszenia i odwołania Administratora Bezpieczeństwa Informacji do GIODO oraz prowadzenia przez Administratorów Bezpieczeństwa Informacji jawnych zbiorów danych osobowych. Należy w tym miejscu docenić działania Ministerstwa w obszarze ochrony danych osobowych, bowiem bardzo skutecznie prowadzi ono kampanię informacyjną w tematach związanych z ochroną danych osobowych, a w szczególności za zaangażowanie w prace i popularyzowanie wiedzy na temat rozporządzenia unijnego w sprawie ochrony danych osobowych, które zastąpić ma krajowe przepisy o ochronie danych osobowych (przynajmniej ich trzon).

My zajmiemy się w niniejszym artykule pierwszym z ww. przywołanych projektów rozporządzeń to jest Rozporządzeniem Ministra Administracji i Cyfryzacji w sprawie wzorów zgłoszeń powołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz odwołania administratora bezpieczeństwa informacji. Delegację do wydania omawianego rozporządzenia stanowi art. 46f ustawy o ochronie danych osobowych w brzmieniu od 1 stycznia 2015 r. (tutaj, dzięki uprzejmości Auraco sp. z o.o., znajdą Państwo tekst ustawy w brzmieniu od 1 stycznia 2015 r.).

Art. 46f. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji, o których mowa w art. 46b ust. 2 i 3, uwzględniając konieczność zapewnienia Generalnemu Inspektorowi informacji niezbędnych do prawidłowego realizowania jego zadań.

Warto zwrócić uwagę, że przepis ten w sposób wyraźny wiąże procedurę zgłaszania powołania i odwołania Administratora Bezpieczeństwa Informacji z kompetencjami GIODO. Czyli innymi słowy rejestr ten ma za zadanie pomóc GIODO wykonywać swoje obowiązki. Automatycznie pojawia się pytanie, o jakie przypadki chodzi? Poniżej kilka przykładów:

  • udzielanie przez GIODO informacji o zarejestrowanych zarejestrowanych administratorach bezpieczeństwa informacji
  • prowadzenie inspekcji i typowanie podmiotów podlegających kontroli (GIODO będzie posiadał informację, które organizacje powołały ABI, a które nie. Co prawda aktualnie GIODO też może uzyskać taką informację, np. z treści zgłaszanych do rejestracji zbiorów danych osobowych, jednak jest to dużo bardziej skomplikowane organizacyjnie)
  • zlecenia przez GIODO na rzecz ABI przeprowadzenia sprawdzenia (inspekcji) administratora danych, który wyznaczył danego ABI
  • kontrola obowiązku powołania ABI
  • kontrola spełnienia przez ABI ustawowych wymogów (m.in. pełna zdolność do czynności prawnych, odpowiednia wiedza z zakresu ochrony danych osobowych, brak karalności za przestępstwa umyślne, bezpośrednia podległość kierownikowi organizacji, który wyznaczył ABI, zapewnienie przez organizację, która wyznaczyła ABI, odpowiednich środków techniczno-organizacyjnych niezbędnych do sprawowania funkcji ABI)

Jak widać, z faktu powołania ABI, GIODO będzie mógł uzyskać wiele informacji na temat kultury organizacyjnej systemu ochrony danych osobowych.

Wracając do rozporządzenia w sprawie wzoru zgłoszenia powołania i odwołania ABI wspomnieć należy, że planowana data wejścia w życie rozporządzenia to oczywiście 1 stycznia 2015 r., a więc data wejścia w życie także nowych przepisów ustawy o ochronie danych osobowych. Wzory powołania i odwołania załączone do projektu rozporządzenia przypominają bardzo w swojej budowie wzory zgłoszeń zbiorów danych do rejestracji. Oczywiście nie są tak obszerne i skomplikowane, ale niewątpliwie osoba przygotowująca zgłoszenia zbiorów danych osobowych poczuje się swojsko zgłaszając do GIODO ABI. Tak jak w odniesieniu do zgłoszenia zbiorów danych, wzór zgłoszenia powołania ABI umożliwia również zmianę danych. Czyli druku zgłoszenia powołania będziemy używali w sytuacji gdy zgłaszamy nowego Administratora Bezpieczeństwa Informacji jak i gdy będziemy chcieli dokonać zmiany zgłoszonych wcześniej danych ABI. Wyjaśnienia wymaga sytuacja odwołania ABI. Otóż nie należy utożsamiać sytuacji odwołania ABI ze zmianą jego danych. Zmiana danych zgłoszonego ABI będzie miała miejsce wtedy, gdy nie zmieni się nam osoba, która wykonuje funkcję ABI (zmienią się jedynie jej dane osobowe lub inne elementy zgłoszenia ulegną zmianie). Zgłaszając do GIODO fakt powołania ABI, będziemy zobowiązani określić:

  1. dane administratora danych
  2. dane ABI (imię, nazwisko,nr PESEL i ewentualnie adres do korespondencji, jeżeli będzie inny niż adres administratora danych)
  3. datę powołania ABI

Dodatkowo, administrator danych powinien w treści zgłoszenia powołania ABI oświadczyć, że osoba powołana na funkcję ABI:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych
  2. posiada odpowiednią wiedzę z zakresu ochrony danych osobowych
  3. nie była karana za przestępstwo popełnione z winy umyślnej
  4. podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych
  5. ma zapewnione środki i organizacyjna odrębność umożliwiające niezależne wykonywanie jego zadań

Jeżeli nie zostaną spełnione ww. wymagania, osoba określona w zgłoszeniu nie zostanie zarejestrowana w GIODO jako ABI w danej organizacji. Warto zwrócić szczególnie uwagę na wymóg nr 2, a więc posiadanie przez ABI odpowiedniej wiedzy z zakresu ochrony danych osobowych. Na tą chwilę, jedynie administrator danych będzie oświadczał (osoby reprezentujące administratora danych), że określona osoba, która ma zostać wpisana do rejestru ABI, posiada odpowiednią wiedzę z zakresu ochrony danych osobowych. Ryzyko braku spełnienia tego wymogu biorą na siebie ww. osoby. Regulacja ta miała na celu wyeliminowanie, albo raczej ograniczenie przypadków, gdy funkcja ta sprawowana jest przez przypadkowe osoby lub wyznaczona jako ABI osoba, nie ma zielonego pojęcia o ochronie danych osobowych. Gdyby wymogi te były surowo stosowane, uderzyłoby to niewątpliwie w organizacje doradcze z zakresu ochrony danych osobowych, szczególnie te rodzinne, w przypadku których kultura organizacyjna stoi na niskim poziomie. Należy jednak wskazać, że póki co nie ma szans na obiektywną weryfikację wiedzy i umiejętności ABI. Taką metodą mogłaby być certyfikacja, lub jakiegoś rodzaju egzamin państwowy na ABI.

Dane z rejestru ABI będą jawne (nr PESEL ABI nie będzie ujawniany w rejestrze), a więc każdy z nas będzie mógł sprawdzić, kto w jakiej organizacji pełni funkcję ABI (o ile administrator danych zgłosił ABI do GIODO). Dużo większą wartość miałoby ujawnianie odwołań ABI, ponieważ w ich treści administrator danych będzie określał również powód odwołania osoby z pełnienia funkcji ABI. Pozwalałoby to na weryfikację profesjonalizmu osoby, która chce pełnić tę funkcję. Informacje te jednak nie będą udostępnianie przez GIODO publicznie.

W kolejnej części omówię drugie rozporządzenie do ustawy o ochronie danych osobowych, a mianowicie dot. jawnego rejestru zbiorów danych, który od 1 stycznia 2015 r. powinien być prowadzony przez administratorów danych (Administratorów Bezpieczeństwa Informacji).