Ustawa czystościowa stawia administratorów baz danych, np. wodociągi czy OPS-y, między młotem a kowadłem. Muszą udostępnić włodarzom informacje potrzebne do kontroli deklaracji śmieciowych mieszkańców, mimo że – przez lakoniczne przepisy – ryzykują naruszeniem RODO
Zgodnie z nowym art. 6o ust. 1a ustawy z 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (t.j. Dz.U. z 2021 r. poz. 888; ost.zm. Dz.U. z 2021 r. poz. 1648; dalej: u.c.p.g.) włodarze zyskali uprawnienia do tego, by w celu weryfikacji złożonych przez mieszkańców deklaracji śmieciowych skorzystać z baz danych gminnych jednostek organizacyjnych, w tym przedsiębiorstw wodociągowo-kanalizacyjnych. I choć przepis jest słuszny, bo jak mówi Mateusz Karciarz, prawnik z Kancelarii Zygmunt Jerzmanowski i Wspólnicy, każda dodatkowa możliwość pozyskiwania przez gminę informacji, które mogą jej pomóc w uszczelnieniu gminnego systemu gospodarowania
odpadami komunalnymi, jest pożądana, to jednak naraża administratorów na konsekwencje prawne, a nawet finansowe, jeśli przekazując dane o mieszkańcach, popełnią błąd.
Przypomnimy, że każdy administrator, którzy przetwarza dane osobowe, musi to robić zgodnie z prawem, rzetelnie i w przejrzysty sposób. Dane mogą być zbierane jedynie w konkretnych i prawnie uzasadnionych celach ‒ do wykonania umowy czy zadania ustawowego, np. ośrodek pomocy społecznej zbiera takie informacje, by wypłacać świadczenia rodzinne,
szkoła, by zapewnić dzieciom bezpieczeństwo, a przedsiębiorstwo wodociągowo-kanalizacyjne, by wywiązać się z umowy o świadczenie usług związanych z dostarczaniem wody i odprowadzaniem ścieków. Wszystkie te podmioty zbierają dane tylko w minimalnym zakresie, niezbędnym do celu przetwarzania. Celu tego nie wolno zmieniać, chyba że stanowią o tym inne przepisy. Z taką sytuacją mamy do czynienia w art. 6o ust. 1a u.c.p.g. Regulacja ta, jak tłumaczy dr Mirosław Gumularz, radca prawny w kancelarii GKK Gumularz Kozik Radcowie Prawni, daje administratorom baz danych kompetencję, by legalnie zmienić cel, dla którego zostały one pierwotnie zebrane. W ten sposób dojdzie do zalegalizowania przetwarzania danych przez włodarzy, jak i podmioty, które pierwotnie dane zebrały, a następnie im je uzupełniły. Ale przez to, że przepis jest ogólnikowy, stawia w kłopocie zarówno włodarzy, jak i podmioty, które będą zobowiązane przekazać dane. Z noweli nie wynika bowiem, jakich kategorii danych może żądać wójt, czy jest to imię i nazwisko w połączeniu z adresem, czy informacje, ile osób w danej rodzinie korzysta ze świadczeń rodzinnych, czy też jakie jest zużycie wody w danym lokalu. – Takie umocowanie administratora do działania nie jest w praktyce łatwe do zastosowania. Nie może on bowiem zakładać, że ma pełną swobodę pozyskiwania danych określonych kategorii. Musi samodzielnie dokonać ich selekcji, doprecyzowując zakres pozyskiwanych informacji pod kątem ich niezbędności – mówi Magdalena Czaplińska, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych sp.p. – Jeżeli zakres udostępnienia danych będzie nieadekwatny i naruszający zasadę minimalizacji, to będzie to okoliczność obciążająca zarówno tego, kto jest udostępnia, jak i tego, kto je pozyskuje – dodaje z kolei Mirosław Gumularz.
Obawy ekspertów związane z tym, że lakoniczność
przepisów będzie dla administratorów kłopotem, podziela Monika Krasińska, dyrektor departamentu orzecznictwa i legislacji w Urzędzie Ochrony Danych Osobowych. Jak mówi, w związku ze stosowaniem przepisów rodzi się wiele pytań, m.in. o tryb występowania o dane, ich zakres i cel przetwarzania.
[opinia]
Ustawodawca wskazał, że źródłem
informacji dla gmin w celu weryfikacji deklaracji śmieciowych mogą być zbiory danych gminnych jednostek organizacyjnych oraz przedsiębiorstw wodociągowo-kanalizacyjnych. Tylko że, jak wskazuje Mateusz Karciarz, te z nich, które działają w formie spółki komunalnej, na gruncie u.c.p.g. wcale nie są gminnymi jednostkami organizacyjnymi, więc de facto będą mogły odmówić przekazania danych, ryzykując oczywiście, że wójt w odpowiedzi na to doprowadzi np. do odwołania prezesa zarządu takiej spółki.
Innym rozwiązaniem jest przekazanie danych dla weryfikacji deklaracji śmieciowych, ale tylko wybranych. – W przypadku przedsiębiorstw wodociągowo-kanalizacyjnych wystarczające byłoby podanie informacji o wysokości zużycia wody w danym okresie w konkretnym budynku – mówi radca prawny Piotr Kalina, counsel w Maruta Wachta sp.j. W jego ocenie przedsiębiorstwa nie powinny przekazywać innych danych osobowych posiadaczy nieruchomości organom wykonawczym gminy, bo doszłoby do naruszenia głównych zasad
RODO, co mogłoby skutkować naruszeniem praw i wolności osób, których dane dotyczą. Choć generalnie wodociągowcy uważają, że dane o zużyciu wody w danej nieruchomości nie stanowią informacji identyfikującej konkretną osobę, to Piotr Kalina wskazuje, że nawet one są danymi osobowymi. – Są jedynie częściowo spseudonimizowane, ale nadal stanowią dane osobowe. Chodzi więc o to, by przekazywać tylko wąski wycinek informacji, bo to zmniejszy ryzyko przekazania danych niewłaściwej osoby, ryzyko wycieku oraz ujawnienia danych, które nie mają związku ze sprawą i nie są potrzebne włodarzom miasta – mówi prawnik. Dodaje, że pojawiają się stanowiska traktujące jako dane osobowe m.in. numery ksiąg wieczystych czy numery VIN. – Adres nieruchomości w tym kontekście również będzie stanowił dane osobowe – twierdzi Piotr Kalina.
Prawnicy uważają, że stosowanie nowego artykułu u.c.p.g. powinno być poprzedzone określonymi działaniami zarówno ze strony samorządów, jak i administratorów baz danych. Magdalena Czaplińska wskazuje, że wójt, burmistrz lub prezydent powinni ustalić zakres dotychczas przetwarzanych danych i zakres danych, które mają to przetwarzanie uzupełniać. Podmioty zobowiązane do udostępnienia muszą zaś przeanalizować, czy mają podstawy do przekazania tych konkretnych danych osobowych. Trzeba też pamiętać, że zmieniając cel przetwarzania, organy muszą o tym powiadomić osoby, których te dane dotyczą. Mirosław Gumularz radzi włodarzom i wszystkim administratorom danych biorącym udział w procedurze przekazywania i pozyskiwania danych do celów weryfikacji deklaracji śmieciowych, by stworzyli szczegółowy opis wskazujący na to, jakie będą źródła pozyskiwania danych (czy dane zostały zebrane przez innego administratora, czy dochodzi do wykorzystania zasobów własnych), jakie kategorie danych zostaną wykorzystywane, kto będzie spełniał obowiązek informacyjny i jak zostanie zapewnione bezpieczeństwo danych. O przygotowaniu już teraz specjalnej procedury obejmującej m.in. zakres danych i sposób ich przekazania mówi też Piotr Kalina. Przypomina, że za bezpieczeństwo danych odpowiada administrator, który te dane udostępnia. ©℗
opinia eksperta
Monika Krasińska dyrektor departamentu orzecznictwa i legislacji w Urzędzie Ochrony Danych Osobowych
Choć sam projekt nowelizacji ustawy o czystości i porządku w gminach był konsultowany z UODO, to rozwiązania prawne zakładające pozyskiwanie przez gminy danych o mieszkańcach od gminnych jednostek organizacyjnych pojawiły się na dalszym etapie procesu legislacyjnego i nie były oceniane przez UODO pod kątem ewentualnych ryzyk związanych z naruszeniem przepisów o ochronie danych osobowych. Nie była także przeprowadzona ocena skutków dla ochrony danych, a z naszych doświadczeń wynika, że istnieje duże ryzyko związane np. z łączeniem baz danych, które są prowadzone przez różne podmioty do realizacji różnych zadań. Dlatego będziemy wnikliwie się przyglądać, jak będą one wykorzystywane w praktyce i kontrolować, czy odbywa się to z poszanowaniem zasad i gwarancji wynikających z RODO.
Do tej pory gminy nie miały podstaw prawnych do pozyskiwania informacji z baz danych innych podmiotów, ponieważ zbierają one i przetwarzają dane osobowe w zupełnie innych celach, a przepisy, na podstawie których funkcjonują, nie dają im na to przyzwolenia. Gminy nie miały więc podstaw, by zobowiązać je, aby udostępniały posiadane dane do celów związanych z gospodarką odpadami. Po wejściu w życie nowelizacji to się zmieni. Problem polega jednak na tym, że przepis wskazujący, że wójt, burmistrz lub prezydent miasta, w celu weryfikacji złożonych deklaracji, może korzystać z informacji i danych znajdujących się w jego posiadaniu oraz posiadaniu gminnych jednostek organizacyjnych, w tym przedsiębiorstw wodociągowo-kanalizacyjnych, jest dość lakoniczny i w praktyce może administratorom nastręczać trudności w stosowaniu.
Jako organ nadzoru zachęcamy administratorów, by zanim przekażą posiadane dane osobowe gminom, przeprowadzili ocenę, czy przekazanie danych będzie zgodne z zasadami RODO i czy nie niesie określonych ryzyk (np. łączenia baz danych, przekazywania bez zachowania zasady poufności, przekazywania nieprawidłowych danych itd.). Analiza ryzyka w sferze ochrony danych osobowych jest konieczna, aby administratorzy wywiązywali się ze spoczywających na nich obowiązków i nie byli narażeni na konsekwencje prawne i finansowe. Powinni dbać, by nie udostępniać danych nadmiarowych, a jedynie te, które JST są niezbędne do wykonania ustawowego zadania, ale jednocześnie na potrzeby prowadzonego już postępowania weryfikującego, czyli w konkretnym celu i zakresie. Zawsze warto mieć w tej sprawie opinie inspektora ochrony danych. Ponadto pod uwagę trzeba brać też to, że niektóre z danych mogą być objęte tajemnicami prawnie chronionymi, np. tajemnicą pomocy społecznej czy też tajemnicą skarbową. Ochrona danych nimi objętych nie powinna być osłabiana. A jakiekolwiek odstępstwa od tej zasady powinny wynikać z jasnych i przejrzystych przepisów.