Jeszcze przed uchwaleniem ustawy, 9 lutego tego roku, Generalny Inspektor Ochrony Danych Osobowych przesłał bardzo alarmujące stanowisko w sprawie programu 500 + i ustawy, która go wprowadza. Ponieważ uwagi GIODO nie zostały właściwie wysłuchane problem spadnie teraz na samorządy, a dotyczy on niezwykle delikatnych i bulwersujących opinię publiczną kwestii ochrony danych osobowych i prywatności.
Zasadniczą uwagę GIODO zwrócił art. 38 ustawy o pomocy państwa w wychowywaniu dzieci, który w ustawie o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 i 2281) wprowadza następujące zmiany:
1) w art. 23 po ust. 2 dodaje się ust. 2a w brzmieniu: „2a. Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.”;
2) w art. 31 po ust. 2 dodaje się ust. 2a w brzmieniu: „2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.”.
Przy czym odpowiednie paragrafy w ustawie o ochronie danych osobowych dotyczą:
Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Zdaniem GIODO Projektowane zmiany ustawy o ochronie danych osobowych stoją w sprzeczności z przepisami dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.), której ustawa o ochronie danych osobowych stanowi implementację.
Zarówno bowiem koncepcja przewidziana przez w art. 38 pkt 1 projektu (dodającym ust. 2a do art. 23 ustawy o ochronie danych osobowych), jak i w art. 38 pkt 2 tego projektu (dodającym ust. 2a do art. 31 ustawy o ochronie danych osobowych), są całkowicie niedopuszczalne z punktu widzenia przepisów prawa Unii Europejskiej, które to prawo nie przewiduje analogicznych rozwiązań. Spotka się to z zarzutem błędnej implementacji dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Jak napisał Generalny Inspektor wypracowany w oparciu o przepisy prawa Unii Europejskiej – model ochrony danych osobowych opierał się na konstrukcji administratora danych, czyli najważniejszego podmiotu w procesie przetwarzania danych, decydującego o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy o ochronie danych osobowych). Ten administrator danych, zarówno ze względu na ciążące na nim rozliczne obowiązki wynikające z przepisów o ochronie danych osobowych, jak i posiadane przez niego uprawnienia w procesie przetwarzania danych, musi być – w istniejącym stanie prawnym – jednoznacznie zidentyfikowany. Tymczasem projekt wprowadzając (art. 38 pkt 1) w ust. 2a art. 23 ustawy o ochronie danych osobowych koncepcję administratora danych, którego można by nazwać „zbiorowym” albo „łącznym”, albo „wspólnym”, odstępuje od aktualnego modelu ochrony danych osobowych.
GIODO alarmuje, że z analizy dokumentów dostępnych na stronie internetowej Rządowego Centrum Legislacji (w zakładce Rządowy Proces Legislacyjny) wynika, iż zmiana ta (brzmienie art. 38) wprowadzona została do projektu podczas obrad Stałego Komitetu Rady Ministrów, co uniemożliwiło organowi do spraw ochrony danych osobowych wyrażenie opinii w tym zakresie. Taki sposób procedowania projektu jest nie do zaakceptowania tym bardziej, że projektowane regulacje zmieniające ustawę o ochronie danych osobowych odnosić się będą do praw podstawowych jednostek, a ostateczny kształt przepisów w sposób bezpośredni dotyczył będzie podstawowych zasad ochrony danych osobowych.
Zdaniem GIODO jest to wprowadzanie zmian o charakterze systemowym, które w zasadniczy sposób modyfikują podstawowe zasady przetwarzania danych osobowych w organach samorządowych i państwowych, a zaproponowane przepisy ustawy o ochronie danych osobowych w praktyce oznaczałyby całkowitą przebudowę modelu przetwarzania danych osobowych przez podmioty publiczne, co spowoduje chaos i uniemożliwi realizację ustawowych zadań zarówno przez administratorów danych, jak i przez organ do spraw ochrony danych osobowych.
GIODO zawarł też szereg uwag szczegółowych. Np. artykuł 9 projektu stanowi, iż w przypadku marnotrawienia przez matkę (ojca, opiekuna faktycznego dziecka, opiekuna prawnego dziecka) wypłacanego świadczenia wychowawczego (lub wydatkowania go niezgodnie z celem) organ właściwy (wójt, burmistrz lub prezydent miasta właściwy ze względu na miejsce zamieszkania osoby ubiegającej się o świadczenie wychowawcze lub otrzymującej świadczenie wychowawcze – art. 2 pkt 11 projektu) przekazuje należne osobie świadczenie wychowawcze w całości lub w części.
Z przepisów nie wynika w sposób jednoznaczny skąd organ właściwy miałby pozyskiwać informację o marnotrawieniu przez matkę (ojca, opiekuna faktycznego dziecka, opiekuna prawnego dziecka) lub wydatkowaniu niezgodnie z celem świadczenia wychowawczego. Kolejna wątpliwość dotyczy sposobu rozumienia – użytego w art. 9 projektu – pojęcia „marnotrawienie”. Bez doprecyzowania kryteriów oceny w tym zakresie dochodzić może do nadużyć interpretacyjnych ze strony organów właściwych
Zgodnie z art. 10 ust. 2 projektu organ właściwy może upoważnić swojego zastępcę, pracownika urzędu albo kierownika ośrodka pomocy społecznej lub innej jednostki organizacyjnej gminy, a także inną osobę na wniosek kierownika ośrodka pomocy społecznej lub innej jednostki organizacyjnej do prowadzenia postępowania w sprawach świadczenia wychowawczego, a także do wydawania w tych sprawach decyzji. W opinii organu do spraw ochrony danych osobowych przepis ten nie jest wystarczająco precyzyjny, gdyż nie wskazuje kto dokładnie może mieć dostęp do danych osobowych.
Określenie „inna jednostka organizacyjna gminy” jest zbyt ogólne, obejmuje bowiem swoim zakresem również takie podmioty jak np. szkoły czy instytucje kultury, a ze względu na specyfikę regulowanego obszaru uzasadnione wydaje się stwierdzenie, że tylko niektóre jednostki organizacyjne gminy mogą zostać upoważnione do prowadzenia postępowania w sprawach świadczenia wychowawczego oraz do wydawania w tych sprawach decyzji.
Powołany przepis projektu powinien wprost wskazywać takie jednostki. Ustalenie tej okoliczności będzie miało zasadnicze znaczenie z punktu widzenia ustalenia administratora danych, którym będzie jednostka prowadząca postępowanie. Przykładowo, jeżeli postępowanie dotyczące świadczenia wychowawczego będzie prowadzone przez ośrodek pomocy społecznej, to właśnie ten podmiot stanie się administratorem danych przetwarzanych w związku z tym postępowaniem. Rozstrzygnięcia będzie przy tym wymagała kwestia przekazywania, prowadzenia i przechowywania dokumentacji zawierającej dane osób ubiegających się o świadczenie wychowawcze oraz członków ich rodzin.
Ustawa regulująca program 500 +<link file:106470_blank download file> <link file:106470_blank download file>>>>
Opinia GiODO <link file:106472_blank download file>>>>
Ustawa o ochronie danych osobowych <link file:106473_blank download file>>>>
