1 kwietnia br. w życie wejdzie Ustawa o pomocy państwa w wychowaniu dzieci, zwana potocznie Ustawą 500+. Oznacza to, że już niebawem ruszy wypłata przewidzianych jej przepisami świadczeń wychowawczych. Cały czas jednak pojawiają się pytania związane z przetwarzaniem danych osobowych beneficjentów programu i realizacją przez organy właściwe do wypłaty świadczeń, obowiązków wynikających z Ustawy o ochronie danych osobowych. Dotyczy to przede wszystkim kwestii związanych z rejestracją zbioru danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych oraz podstawy przetwarzania informacji w ramach zbioru.
Co więcej, przepisy Ustawy 500+ nie tylko określają warunki nabywania prawa do świadczenia wychowawczego oraz zasady jego przyznawania i wypłacania, ale również wprowadzają zmiany w brzmieniu Ustawy o ochronie danych osobowych. Zmiany te są o tyle istotne, że odnoszą się podstawowych zasad przetwarzania danych osobowych – pojęcia administratora danych oraz kwestii związanych z powierzeniem przetwarzania danych osobowych między organami państwowymi i samorządowymi.
Przetwarzanie danych dopiero po rejestracji zbioru
Zbory danych osobowych przetwarzane przez gminy (lub inne podmioty upoważnione do prowadzenia postępowań w sprawie przyznania świadczenia rodzinnego i wydawania decyzji, np. ośrodki pomocy społecznej) w ramach programu 500+, są zbiorami zawierającymi dane wrażliwe. Jest to spowodowane tym, że w składanym wniosku, ujawniane są informacje dotyczące m.in. stanu zdrowia dziecka (np. stopień niepełnosprawności) oraz wydanych orzeczeń (np. orzeczenie o separacji, rozwodzie). Zgodnie natomiast z art. 46 ust. 2 uodo, administrator danych osobowych, może rozpocząć przetwarzanie danych wrażliwych w zbiorze, dopiero po jego zarejestrowaniu w rejestrze prowadzonym przez GIODO. Nie dotyczy to wyłącznie przypadków, kiedy przepisy uodo zwalniają go z obowiązku zgłoszenia zbioru do rejestracji.
Należy przy tym pamiętać, że zgłoszenie zbioru nie jest tożsame z jego rejestracją. Zgłoszenie to pierwszy etap całego procesu, a rejestracja – ostatni. Pomiędzy jednym i drugim jest jeszcze przeprowadzenie postępowania przez GIODO, czyli m.in. ustalenie, czy zachodzi przesłanka przetwarzania danych w zbiorze, czy zbieranie konkretnych danych osobowych jest konieczne, jak i ocena sposobu ich zbierania.
Co to oznacza w praktyce? Aby móc legalnie przetwarzać dane osobowe w ramach programu 500+, gmina lub inne podmioty upoważnione do wypłaty świadczeń, powinny dysponować zaświadczeniem GIODO o zarejestrowaniu zbioru. Bez tej informacji, podmioty te nie powinny nawet przyjmować wniosków o wypłatę pieniędzy. Samo przyjęcie wniosku będzie, bowiem oznaczało przetwarzanie danych w nim ujawnionych. Warto dodać, że zgodnie z przepisami karnymi uodo, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 53).
Czy oznacza to odłożenie w czasie wypłat świadczeń? Niekoniecznie. Generalny Inspektor Ochrony Danych Osobowych deklaruje, że Biuro jest przygotowane i specjalnie ukierunkowane na wspieranie realizacji programu 500+, co może oznaczać, że wnioski rejestracyjne w tym zakresie będą traktowane priorytetowo. Niemniej jednak, nadal trudno sobie wyobrazić, aby w tak krótkim czasie jaki pozostał do 1 kwietnia, GIODO zarejestrował ponad 2,5 tysiąca wniosków. Biorąc jednak pod uwagę wcześniejszą praktykę, jaka miała miejsce m.in. przy Ustawie o Karcie Dużej Rodziny, gdzie zgłaszanie zbiorów przez gminy następowało na bieżąco, w niektórych przypadkach już po rozpoczęciu realizacji tej ustawy, ryzyko poniesienia odpowiedzialności z tytułu niezarejestrowania zbioru jest znikome.
Oczywiście nie oznacza to, że gminy mogą odłożyć rejestrację zbioru „na później”. Złożenie wniosku rejestracyjnego w Biurze GIODO powinno nastąpić możliwie jak najszybciej.
Zgoda niepotrzebna
Przetwarzanie danych osobowych osób wnioskujących o świadczenie wychowawcze odbywa się na podstawie przepisów Ustawy o pomocy państwa w wychowaniu dzieci. Wzory wniosków określa zaś rozporządzenie wykonawcze do Ustawy. Oznacza to, że nie ma konieczności, aby gmina zbierała od beneficjentów programu 500+ oddzielne zgody na przetwarzanie danych osobowych w celu wypłaty świadczeń.
Z uwagi na fakt, iż we wniosku ujawniane są dane wrażliwe, niektóre z gmin decydują jednak się na zamieszczenie w nim klauzuli zgody na przetwarzanie danych. Należy mieć na uwadze, że zawsze gdy stosujemy taką klauzulę, musimy pamiętać o tym, czym jest zgoda na przetwarzanie danych i jakie są warunki jej udzielenia.
Zgodnie z przepisami uodo, zgodę stanowi oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda taka nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści i może być odwołana w każdym czasie. Oznacza to, że gmina musi liczyć się i z takim scenariuszem, że osoba wnioskująca takiej zgody nie wyrazi lub po złożeniu wniosku, już w trakcie wypłacania świadczenia, zgodę odwoła. Czy wówczas brak będzie przesłanki legalizującej przetwarzanie danych osobowych? W takim wypadku organ zapewne powoływałby się na realizację obowiązków wynikających z przepisów prawa. Pokazuje to, że gromadzenie takich zgód jest zbędne i w praktyce może dostarczyć więcej problemów niż korzyści.
Bez konsultacji i w sprzeczności z prawem europejskim
Zmiany przepisów uodo wprowadzone zostały do projektu Ustawy o pomocy wychowaniu dzieci podczas obrad Stałego Komitetu Rady Ministrów, co uniemożliwiło Generalnemu Inspektorowi Ochrony Danych Osobowych wyrażenie opinii w tym zakresie. Brak konsultacji z organem do spraw ochrony danych osobowych należy w tym wypadku uznać za niebezpieczny precedens. Tym bardziej, że zmiany te odnoszą się do podstawowych praw jednostek.
Zgodnie z nowo dodanym do uodo art. 23 ust. 2a, organy państwowe i samorządowe oraz państwowe i komunalne jednostki organizacyjne będą uznawane za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.
Wprowadzono tym samym koncepcję administratora danych, którego można nazwać „zbiorowym” albo „łącznym”. Odstępuje to od aktualnego modelu ochrony danych osobowy opierającego się na konstrukcji administratora danych, jako najważniejszego podmiotu w procesie przetwarzania danych, decydującego o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 uodo). Pozostaje to również w sprzeczności z zamieszczoną w art. 2 lit. d Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych definicją administratora danych, która kładzie nacisk m.in. na aspekt o charakterze personalnym, tzn. administratorem danych może być: osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ. Oznacza to, że administrator danych, zarówno ze względu na ciążące na nim rozliczne obowiązki wynikające z przepisów o ochronie danych osobowych, jak i posiadane przez niego uprawnienia w procesie przetwarzania danych, musi być jednoznacznie zidentyfikowany.
Formuła „zbiorowego administratora” powoduje praktyczne problemy w realizacji obowiązków nałożonych przez Ustawę o ochronie danych osobowych, jak i może powodować problemy w realizacji przewidzianych nią praw osób, których dane dotyczą. Dotyczy to m.in. ustalenia, który z organów uznawanych za jednego administratora ma wykonywać obowiązki informacyjne, który z nich ma zgłaszać zbiór do rejestracji, a który ma realizować uprawnienia podmiotów danych. Zgodnie ze stanowiskiem GIODO, nowy model administrowania danymi przez podmioty publiczne, w żadnym wypadku nie może wyłączyć odpowiedzialności któregokolwiek z administratorów, ani zwolnić go z wykonywania ustawowych obowiązków. Oznacza to, że każdy administrator danych nadal będzie obowiązany do realizacji nałożonych na niego właściwymi przepisami zadań i żaden inny podmiot nie będzie mógł go w tym zakresie zastąpić. Zatem zgłoszenie zbioru danych do rejestracji przez jednego z „łącznych administratorów” nie zwalnia z tego pozostałych. Pytanie o przetwarzanie danych osobowych, osoba której dane dotyczą, może kierować do każdego z tych podmiotów, i każdy z nich powinien udzielić jej wyczerpującej w tym zakresie odpowiedzi.
W praktyce, model „wspólnego administratora” oznacza jeszcze jedną ważną zmianę – brak konieczności stosowania przepisów dotyczących udostępniania danych osobowych innemu administratorowi, jeżeli będzie on należał do „grupy”. To z kolei stoi w sprzeczności nie tyko z unijnymi przepisami, ale i z orzecznictwem Trybunału Sprawiedliwości UE. W wyroku z dnia 1 października 2015 r. w sprawie Smaranda Bary, Trybunał orzekł bowiem, że osoby, których dane osobowe są przekazywane między dwoma organami administracji publicznej państwa członkowskiego, muszą być wcześniej o tym informowane.
Nie mniejsze kontrowersje może wzbudzać także brak definicji pojęcia „interesu publicznego”, którego szeroki zakres znaczeniowy pomieścić może w praktyce nieograniczoną liczbę stanów faktycznych. Trudno na takiej podstawie wykazać, kto oraz w jakich okolicznościach będzie mieć dostęp do tych informacji.
Powierzenie bez umowy
Ustawa 500+ wprowadza jeszcze jedną zmianę w przepisach uodo. Dotyczy ona powierzania przez administratora przetwarzania danych osobowych innemu podmiotowi. W obecnym stanie prawnym, musi zostać zawarta między tymi podmiotami umowa powierzenia, określająca zakres i cel przetwarzania danych (art. 31 ust. 1 uodo). Nowelizacja przewiduje zaś, że w sferze publicznej można będzie powierzać przetwarzanie bez niej.
Oznaczać to może w praktyce odformalizowanie i przyspieszenie procesu przekazywania danych osobowych w sferze publicznej i ograniczenie zbędnej biurokracji. Pojawiają się jednak głosy krytyczne, które sugerują, że dojdzie do całkowitej dowolności przy powierzaniu danych, a podmiot powierzający dane nie będzie miał gwarancji ich należytego zabezpieczenia przez podmiot dane przyjmujący.
Wprowadzone nowelizacją rozwiązanie stoi w opozycji do regulacji wspominanej już Dyrektywy PE i Rady, która dopuszcza przetwarzanie danych przez przetwarzającego wyłącznie w przypadku, gdy przetwarzający podlega administratorowi danych na podstawie umowy lub aktu prawego.
Aby zatem wprowadzone zmiany zgodne były z obowiązującymi w tym zakresie regulacjami europejskimi, przepisy powinny szczegółowo określać warunki powierzenia przetwarzania danych oraz granice, w jakich może poruszać się podmiot przetwarzający dane.
Rozwiać wątpliwości
Jak zatem widać wątpliwości i zastrzeżeń dotyczących zmian w Ustawie o ochronie danych osobowych wprowadzonych przez Ustawę 500+ jest wiele. Problemy pojawiają się już na etapie realizacji przez gminy obowiązku rejestracyjnego. Wprowadzone nowe rozwiązania w zakresie przetwarzania danych osobowych budzą wątpliwości interpretacyjne nie tylko GIODO, ale i przedstawicieli doktryny. Generalny Inspektor zajmując stanowisko w sprawie, zapowiedział, iż będzie dążył do zmiany wprowadzonych rozwiązań, gdyż stoją one w sprzeczności z obowiązującym prawem europejskim i mogą one narazić Polskę na zarzut błędnej implementacji Dyrektywy.
Zważywszy, że administracja publiczna przetwarza dane osobowe obywateli na olbrzymią skalę, m.in. w ramach takich programów jak Rodzina 500+, jak również coraz częściej korzysta z najnowszych technologii, rozwiązania przyjęte Ustawą o pomocy państwa w wychowaniu dzieci mogą wzbudzić obawy o skuteczne zabezpieczenie tych informacji przed dostępem osób nieuprawnionych. W myśl zasady, że jeżeli coś jest wspólne to tak naprawdę niczyje.
Niezależnie od wątpliwości GIODO, przedstawicieli doktryny i zwykłych obywateli, nowelizacja wejdzie w życie 1 kwietnia i od tego momentu organy publiczne będą mogły stosować przewidziane nią rozwiązania. W praktyce zatem od nich zależy, w jaki sposób z nowych uprawnień skorzystają i jakie będzie miało to wpływ na ochronę przetwarzanych przez nich danych.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.