W Ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (potocznie zwana „Ustawą 500+”) zawarto przepisy zmieniające Ustawę o ochronie danych osobowych. Zostały dodane dwa ustępy tj. ust. 2a do art. 23 oraz ust. 2a do art. 31 Ustawy o ochronie danych osobowych. Zmiany te nie uszły uwadze Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).
Po pierwsze w art. 23 Ustawy o ochronie danych osobowych po ust. 2 dodano ust. 2a o treści „Podmioty, o których mowa w art. 3 ust. 1 (red. organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne), uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.”.
To oznacza, że w przypadku, gdy przetwarzanie danych służy temu samemu interesowi publicznemu (red. pojęcie bardzo szerokie, generalne i abstrakcyjne w zakresie interpretacji), a dane te przetwarzają organy państwowe, organy samorządu terytorialnego, państwowe lub komunalne jednostki organizacyjne, wszystkie te podmioty są traktowane jako jeden administrator danych osobowych.
Przepis ten jest w ścisłej korelacji z kolejnym dodanym tj. art. 31 ust. 2a, który stanowi iż nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1 (red. inny podmiot niż administrator, któremu ten powierzył przetwarzanie), powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1. Oznacza, że „odbiurokratyzowano” przekazywanie danych pomiędzy jednostkami państwowymi, a co za tym idzie teoretycznie może to prowadzić do zmniejszenia możliwość kontroli i weryfikacji przepływu danych pomiędzy jednostkami przez osobę, której takie dane dotyczą.
Swoje negatywne stanowisko w zakresie nowelizacji wyraziła dr Edyta Bielak-Jomaa (GIODO) twierdząc, że nowelizacja wprowadza przepisy niezgodne z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony danych osób fizycznych w zakresie ich przetwarzania i swobodnego przepływu. Wątpliwości GIODO budził również sposób wprowadzenia zmian w toku procesu legislacyjnego.
Rzeczywiście przepisy nowelizujące Ustawę o ochronie danych osobowych zawarte w Ustawie o pomocy państwa w wychowywaniu dzieci mogą powodować wiele problemów w aspekcie możliwości dostępu oraz kontroli przepływu danych w strukturach państwowych. Co prawda uproszczą działanie aparatu państwowego (chodzi tutaj głównie o skuteczną realizacje programu 500+) co w pewnym sensie można uznać za uzasadnione, ale mogą również stworzyć pole do nadużyć i zaniedbań w zakresie przepływu danych. Co więcej jest ryzyko zaistnienia problemu w zakresie ustalenia strony podmiotowej w postępowaniu przed GIODO po stronie przetwarzającego dane osobowe („jednego administratora”). Praktyka oczywiście zweryfikuje przepisy prawa i ich stosowanie, wtedy też będziemy mogli wyrazić swoją dokładniejszą, merytoryczną opinię.
W mojej ocenie prawodawca mógł zastosować w praktyce art. 5 UODO i przyjąć podobne rozwiązanie w zakresie danych osób korzystających z programu pomocy rodzinie 500+ (tutaj też pojawiły by się spory interpretacyjne, ale wydaje mi się, że dotyczące mniej kontrowersyjnych kwestii i węższe w aspekcie przedmiotowym).
Więcej:
– Ustawa z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci
Nasz zespół zapewnia kompleksową obsługę w zakresie przygotowania procedur i dokumentacji oraz świadczenia funkcji Administratora Bezpieczeństwa Informacji
