Prezes Urzędu Ochrony Danych Osobowych uważa, że resort cyfryzacji powinien był przeprowadzić test prywatności, w tym ocenę skutków projektowanych przepisów dla ochrony danych przed przygotowaniem projektu rozporządzenia w sprawie zakresu danych i wykazu rejestrów publicznych oraz systemów teleinformatycznych podmiotów publicznych, z których użytkownik aplikacji mObywatel może pobrać dane.

Taką uwagę prezes UODO zgłosił w procesie opiniowania tego projektu, opracowanego na podstawie art. 6 ustawy z 26 maja br. o aplikacji mObywatel (nie została jeszcze opublikowana w Dzienniku Ustaw).

Ustawa tworzy podstawy prawne dla funkcjonowania tej aplikacji i dostępnych w niej cyfrowych dokumentów – w tym dowodu osobistego. Korzystanie z nich wymaga dostępu do danych dotyczących użytkownika aplikacji, przetwarzanych w rejestrach publicznych i systemach teleinformatycznych podmiotów publicznych, m.in. z rejestru PESEL i Rejestru Dowodów Osobistych (RDO). W uzasadnieniu wskazano, że minister cyfryzacji będzie przeprowadzał ocenę skutków dla ochrony danych (DPIA) w odniesieniu do usług, dla których jest administratorem. „Poziom zidentyfikowanych ryzyk jest akceptowalny” – czytamy.

Jednak prezes UODO w swojej opinii wskazuje, że projektodawca „nie wykazał, aby w ocenie skutków dla ochrony danych analizowany był również aspekt prawidłowości podstawy prawnej dla wydania przedmiotowego rozporządzenia, jak również ustawowe umocowanie poszczególnych usług w aplikacji mObywatel”. Przypomina, że już wtedy, gdy opiniował projekt ustawy, podkreślał, iż zakres danych oraz wykaz rejestrów powiązanych z aplikacją nie mogą być ustalane rozporządzeniem.

Ponadto uważa, że uzasadnienie rozporządzenia powinno wskazywać ministra cyfryzacji jako administratora lub współadministratora danych pobieranych w aplikacji – również pochodzących z rejestrów publicznych prowadzonych przez inne podmioty.

W TK znów nie udało się zebrać pełnego składu
W TK znów nie udało się zebrać pełnego składu

Zobacz również

W odpowiedzi na te uwagi Ministerstwo Cyfryzacji podkreśla, że proces legislacyjny rozporządzenia „musiał się rozpocząć przed ogłoszeniem” ustawy, gdyż musi być ono wydane w dniu jej wejścia w życie. Ponadto część danych wymienionych w projekcie jest już pobierana w mObywatelu „na podstawie aktualnych przepisów”. Pozostałe dotyczą zaś usług jeszcze niedostępnych i będą pobierane dopiero po wejściu w życie ustawy.

Autorzy projektu uważają ponadto, że choć minister cyfryzacji odpowiada za aplikację, to nie staje się przez to administratorem danych osobowych.©℗

Podstawa prawna

Etap legislacyjny

Projekt rozporządzenia Rady Ministrów po konsultacjach