Prezes Urzędu Ochrony Danych Osobowych uważa, że resort cyfryzacji powinien był przeprowadzić test prywatności, w tym ocenę skutków projektowanych przepisów dla ochrony danych przed przygotowaniem projektu rozporządzenia w sprawie zakresu danych i wykazu rejestrów publicznych oraz systemów teleinformatycznych podmiotów publicznych, z których użytkownik aplikacji mObywatel może pobrać dane.
Taką uwagę prezes UODO zgłosił w procesie opiniowania tego projektu, opracowanego na podstawie art. 6 ustawy z 26 maja br. o aplikacji mObywatel (nie została jeszcze opublikowana w Dzienniku Ustaw).
Ustawa tworzy podstawy prawne dla funkcjonowania tej aplikacji i dostępnych w niej cyfrowych dokumentów – w tym dowodu osobistego. Korzystanie z nich wymaga dostępu do danych dotyczących użytkownika aplikacji, przetwarzanych w rejestrach publicznych i systemach teleinformatycznych podmiotów publicznych, m.in. z rejestru PESEL i Rejestru Dowodów Osobistych (RDO). W uzasadnieniu wskazano, że minister cyfryzacji będzie przeprowadzał ocenę skutków dla ochrony danych (DPIA) w odniesieniu do usług, dla których jest administratorem. „Poziom zidentyfikowanych ryzyk jest akceptowalny” – czytamy.
Jednak prezes UODO w swojej opinii wskazuje, że projektodawca „nie wykazał, aby w ocenie skutków dla ochrony danych analizowany był również aspekt prawidłowości podstawy prawnej dla wydania przedmiotowego rozporządzenia, jak również ustawowe umocowanie poszczególnych usług w aplikacji mObywatel”. Przypomina, że już wtedy, gdy opiniował projekt ustawy, podkreślał, iż zakres danych oraz wykaz rejestrów powiązanych z aplikacją nie mogą być ustalane rozporządzeniem.
Ponadto uważa, że uzasadnienie rozporządzenia powinno wskazywać ministra cyfryzacji jako administratora lub współadministratora danych pobieranych w aplikacji – również pochodzących z rejestrów publicznych prowadzonych przez inne podmioty.
W odpowiedzi na te uwagi Ministerstwo Cyfryzacji podkreśla, że proces legislacyjny rozporządzenia „musiał się rozpocząć przed ogłoszeniem” ustawy, gdyż musi być ono wydane w dniu jej wejścia w życie. Ponadto część danych wymienionych w projekcie jest już pobierana w mObywatelu „na podstawie aktualnych przepisów”. Pozostałe dotyczą zaś usług jeszcze niedostępnych i będą pobierane dopiero po wejściu w życie ustawy.
Autorzy projektu uważają ponadto, że choć minister cyfryzacji odpowiada za aplikację, to nie staje się przez to administratorem danych osobowych.©℗
Podstawa prawna
Etap legislacyjny
Projekt rozporządzenia Rady Ministrów po konsultacjach