Ochrona danych osobowych - zmiana 2016 r.

Przyjęta przez Sejm RP ustawa o pomocy państwa w wychowywaniu dzieci, która stanowi narzędzie realizacji programu „Rodzina 500+”, wprowadziła do ustawy o ochronie danych osobowych istotne zmiany dotyczące administratora danych oraz instytucji powierzenia przetwarzania danych.

Przepisy ustawy o pomocy państwa w wychowaniu dzieci, które regulują zakres zbieranych danych i dostęp organów administracji do tych danych, stoją w kolizji z zasadami ochrony danych osobowych funkcjonującymi w polskim systemie prawnym. Jak wynika z powyższego, ustawa wprowadziła nieliczne zmiany, bo jedynie w dwóch przepisach ustawy o ochronie danych osobowych, niemniej jednak są to dosyć istotne zmiany. Polegają one na tym, że organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne mają być uważane za jednego administratora danych, jeżeli przetwarzanie przez nie danych służy temu samemu interesowi publicznemu. W ustawie występuje nowa kategoria administratora. Niewątpliwie, nowe zapisy ustawy o ochronie danych osobowych wprowadzają niemałe zamieszanie interpretacyjne. Warto w tym miejscu przytoczyć fragment komunikatu wydanego przez Generalnego Inspektora Ochrony Danych Osobowych, w którym podniósł, iż „art. 7 Konstytucji Rzeczypospolitej Polskiej stanowi wyraźnie, iż organy władzy publicznej działają na podstawie i w granicach prawa. Zatem to z przepisów o charakterze szczególnym, w tym właściwych przepisów kompetencyjnych, powinien wynikać zakres i sposób wykonywania zadań przez administratorów danych. Również na podstawie takich przepisów oceniać należy zakres odpowiedzialności oraz dopuszczalnego przetwarzania danych przez poszczególnych administratorów danych i podmioty przetwarzające dane. Przyjęta w art. 38 pkt 1 ustawy o pomocy państwa w wychowywaniu dzieci nowelizacja ustawy o ochronie danych osobowych nie może zmieniać powyższego stanu rzeczy. Każdy z administratorów nadal będzie odpowiadał za realizację zadań we własnym, wyznaczonym właściwymi przepisami zakresie, nie zaś wraz z innymi podmiotami. Nie może być mowy zatem również o odpowiedzialności solidarnej, gdyż na gruncie prawa administracyjnego nie jest znana konstrukcja odpowiedzialności solidarnej (którą sformułowanie nowego art. 23 ust. 2a ustawy o ochronie danych osobowych mogłoby sugerować)”. 

Warto mieć na względzie, że w związku z tą kwestią pojawia się wiele pytań, na które nie ma klarownej odpowiedzi. Przede wszystkim powstaje pytanie, kiedy podmioty publiczne przetwarzają dane w tym samym interesie publicznym. Są przecież i takie opinie (całkiem słuszne), że cała administracja państwowa i samorządowa działa w interesie publicznym. Pojęcie interesu publicznego czy kryteria przyjęcia, kiedy mamy do czynienia z tym samym interesem publicznym, nie są w żaden sposób wyjaśnione w ustawie. Czy wobec powyższego oznacza to, że cała administracja może być uznana za jednego administratora danych? Poza tym podkreślić trzeba, jakie są konsekwencje przyjęcia, że organy rządowe i administracji samorządowej mają być traktowane jako jeden administrator (o ile przetwarzają dane w tym samym interesie publicznym). Niezależnie od powyższego powstaje problem związany ze statusem odrębnych podmiotów publicznych zamienionych w jednego administratora danych. W miejsce dotychczasowych kilku administratorów, pod szyldem wspólnego interesu publicznego, pojawia się jeden wielopodmiotowy administrator danych. Jakie mogą być tego skutki w praktyce? Otóż w pierwszej kolejności oznacza to brak konieczności stosowania przepisów dotyczących udostępniania danych osobowych innemu administratorowi. Nie będzie już obowiązku stosowania przesłanki upoważniającej do przekazania. Nie będzie także konieczności poinformowania osoby, której dane są przekazywane, że takie przekazanie faktycznie ma miejsce. Ten nowy przepis oznacza z kolei, że między organami administracji nie będą już podpisywane umowy powierzenia. Wprowadzając zmiany, nie wyłączono jednak w odniesieniu do podmiotów publicznych stosowania pozostałych przepisów dotyczących powierzenia. Należy mieć na uwadze, że w umowach powierzenia ustalany jest cały szereg wytycznych w zakresie przetwarzania danych, regulowane są kwestie odpowiedzialności za przetwarzanie danych między określonymi podmiotami. Brak umów może prowadzić do dużej dowolności i swobody w powierzaniu. Zgodnie z treścią komunikatu wydanego przez Generalnego Inspektora Ochrony Danych Osobowych: „ustanowienie nowego rodzaju podmiotu przetwarzającego dane nie powinno się wiązać z obniżeniem poziomu ochrony tych danych i niespełnieniem szeregu warunków określanych do tej pory w umowach. Aby powierzenie ustawowe było dopuszczalne, właściwe przepisy powinny szczegółowo określać jego warunki oraz granice, w jakich może poruszać się podmiot przetwarzający dane. Jednocześnie nadal będzie on obowiązany do przestrzegania zasad wynikających z przepisów ustawy o ochronie danych osobowych, w tym dotyczących właściwego zabezpieczenia danych. Dlatego, stojąc na straży właściwego, wysokiego standardu ochrony danych osobowych w Rzeczypospolitej Polskiej, organ do spraw ochrony danych osobowych będzie interpretował dodane przez art. 38 ustawy o pomocy państwa w wychowywaniu dzieci przepisy art. 23 ust. 2a oraz art. 31 ust. 2a ustawy o ochronie danych osobowych, uwzględniając całokształt zaprezentowanych wyżej rozważań. Jednocześnie, mając na względzie niezgodność konstrukcji prawnej przewidzianej w art. 23 ust. 2a z obowiązującym prawem europejskim, Generalny Inspektor Ochrony Danych Osobowych będzie dążył do zmiany tego aktu prawnego”.

Materiał źródłowy;
1. Komunikat dotyczący nowelizacji ustawy o ochronie danych osobowych – www.giodo.gov.pl
2. Ustawa z dnia z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. z 2016 r., poz. 195).
3. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 z późn. zm.).