W Zarządzie Transportu Miejskiego w Warszawie od dnia 13 stycznia 2014 r. trwa kontrola dotycząca przetwarzania danych osobowych na potrzeby wydania i obsługi Karty warszawiaka oraz Karty młodego warszawiaka pod kątem zgodności z przepisami ustawy o ochronie danych osobowych, taką informację przekazała rzeczniczka prasowa GIODO Małgorzata Kałużyńska-Jasak. Dodała również iż kontrola rozpoczęła się z urzędu „na skutek zarówno wpływających do biura GIODO sygnałów, jak i doniesień medialnych”.
Wojciech Wiewiórowski w jednym z wywiadów z listopada 2013 r. zwrócił uwagę, iż zastrzeżenia budzi pozyskiwanie przez gminy na potrzeby kart mieszkańca danych z urzędów skarbowych. Generalnie gminy nie mogą pozyskiwać tego typu danych, jeżeli nie ma specjalnej, szczególnej podstawy prawnej, która by je do tego uprawniała i żeby gmina mogła uzyskać dostęp do tego typu danych nawet jeżeli miałyby być przedstawiane przez samego obywatela – potrzebowałaby przymusu prawnego (Dziennika Gazeta Prawna). Wskazał również, że samorządy nie mają prawa pozyskiwać od obywateli informacji o tym, gdzie płacą oni podatki.
Uchwała Rady m.st. Warszawy dotycząca Karty wymienia dwa warunki jej otrzymania: zamieszkanie na terenie miasta oraz rozliczanie podatku PIT w tutejszym urzędzie skarbowym. Mieszkaniec do wniosku o wydanie Karty nie musi dołączać PITu.
Na podstawie umowy zawartej dnia 27 listopada 2013 r. między ministrem finansów a prezydentem m.st. Warszawy ten pierwszy ma przekazywać miastu informację, czy wskazane w zapytaniu osoby, rozliczając się z uzyskanych dochodów, wskazały Warszawę jako miejsce zamieszkania w ostatnim dniu roku. Fakt ten decyduje o wybraniu konkretnego urzędu skarbowego na miejsce złożenia zeznania rocznego (ustawa o PIT). Ministerstwo Finansów jako podstawę prawną wskazuje art. 15 ustawy o zasadach ewidencji i identyfikacji podatników i płatników. Gmina jest organem podatkowym, ale nie w podatku dochodowym od osób fizycznych. Następnie jako drugą podstawę prawną MF wskazuje przepis art. 31 ustawy o ochronie danych osobowych, który pozwala ADO powierzyć ich przetwarzanie innemu podmiotowi. Obie podstawy są bardzo wątpliwe i podważane przez środowisko prawnicze.
Do tej pory rzecznik prasowy ZTM nie udzielił żadnego komentarza. Czy w wyniku przeprowadzonej kontroli GIODO podważy legalność działań związanych z pozyskiwaniem danych? Jest to bardzo możliwe.
W zaistniałej sytuacji nasuwają się liczne pytania: co będzie dalej, jeżeli podstawy prawne pozyskiwania danych okażą się niezgodne z przepisami? Jakie sankcje zastosuje GIODO? Warszawiacy złożyli już 207 tys. wniosków o wydanie Karty, z czego zostało już wydanych 89 tys. hologramów do naklejania na kartę miejską lub inny nośnik biletu (np. elektroniczną legitymację studencką).
AKTUALIZACJA z dnia 5 lutego 2014:
Kontrola GIODO w ZTM zainicjowała reakcję łańcuchową.
W wyniku przeprowadzonych czynności okazało się, że następnym kontrolowanym w związku z Kartą warszawiaka podmiotem powinien zostać stołeczny ratusz, a dokładnie koordynujące wdrażanie karty Centrum Komunikacji Społecznej. Kontrola rozpoczęła się 27 stycznia 2014 r. To jednak nie koniec zamieszania wokół tego projektu, ponieważ wynikło, iż następnym miejscem, gdzie zawitali w poniedziałek 3 lutego 2014 r. kontrolerzy jest Ministerstwo Finansów.
Jak poinformowała rzeczniczka prasowa MF – Wiesława Dróżdż kontrola obejmuje przetwarzanie danych osobowych przez MF w związku ze współpracą resortu ze stołecznym ratuszem w zakresie weryfikacji uprawnień do otrzymania Karty warszawiaka, w tym przetwarzanie danych na podstawie umowy zwartej w listopadzie 2013 r. między ministrem finansów a prezydentem Warszawy.
Czy kontrole zakończą się na Ministerstwie Finansów? – Tego jeszcze nie wiemy. Pozostaje uzbroić się w cierpliwość i czekać na wyniki kontroli, które zgodnie z informacją rzeczniczki prasowej GIODO mają ukazać się najprawdopodobniej w lutym.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.