Nowa regulacja nie porządkuje całościowo kwestii ochrony danych w jednostkach samorządu terytorialnego, tylko uzupełnia lub uszczegóławia znane mechanizmy. Zawiera jednak wiele ograniczeń w stosunku do administratora danych
Nowa regulacja nie porządkuje całościowo kwestii ochrony danych w jednostkach samorządu terytorialnego, tylko uzupełnia lub uszczegóławia znane mechanizmy. Zawiera jednak wiele ograniczeń w stosunku do administratora danych
Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych (Dz.U. poz. 730; dalej: ustawa wdrożeniowa lub ustawa wprowadzająca) zmienia wiele przepisów krajowych, także dotyczących samorządu terytorialnego czy szerzej administracji publicznej. Poniżej przedstawiamy subiektywny wykaz najważniejszych zmian, na które należy zwrócić uwagę.
4 Maja sobota
– tego dnia zaczęły obowiązywać zmiany wynikające z ustawy wdrożeniowej
Strony i uczestnicy postępowania administracyjnego nie uzyskają już danych o osobie skarżącej. Chyba że ona sama zezwoli organowi na ich udostępnienie.
Do tej pory te informacje można było pozyskiwać na podstawie art. 15 ust. 1 lit. g RODO. Unijne rozporządzenie nie zawiera bowiem wyraźnego zakazu przekazywania informacji o źródle danych, mimo że występuje tu ryzyko naruszenia praw lub wolności (tu: skarżącego).
WAŻNE Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości, wynikającej z kosztów administracyjnych.
Polski ustawodawca zauważył ten problem i dlatego wiele przepisów wprowadzających zawiera mechanizm wyłączający stosowanie tego artykułu. Najbardziej doniosła jest zmiana w art. 236 kodeksu postępowania administracyjnego (dalej: k.p.a.), dotyczącego trybu skargowego. Zgodnie z jego nowym brzmieniem w przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi art. 15 ust. 1 lit. g RODO nie stosuje się w stosunku do strony i uczestnika postępowania.
Osoby spoza kręgu stron postępowania administracyjnego, np. świadkowie, mają prawo dostępu do swoich danych, a także uzyskania ich kopii. Do tej pory były w tej kwestii wątpliwości. W tym zakresie kluczowe znaczenie mają dwa nowelizowane przepisy k.p.a.: art. 73 oraz 74a. Wyraźnie przesądzają, że prawo strony do wglądu w akta nie ogranicza prawa dostępu do danych realizowanego przez osobę, której one dotyczą, a np. nie jest stroną. Ale uwaga! Chodzi o dostęp do swoich danych osobowych, a nie danych innej osoby. Dlatego w praktyce istotne będzie ograniczenie możliwości uzyskania informacji np. o zarobkach innych (poprzez anonimizację).
Przypomnieć należy, że tryb prawa dostępu do danych określają art. 12 i 15 RODO, a nie k.p.a. Zgodnie z zawartymi w nich terminami od otrzymania żądania udostępniania danych administrator ma maksymalnie miesiąc na poinformowanie, jakie w związku z tym podjął działania. Termin ten można przedłużyć o kolejne dwa miesiące, jeśli żądanie ma skomplikowany charakter. O przedłużeniu i jego przyczynach administrator musi poinformować zainteresowanego.
Zgodnie z art. 5 ust. 2 ustawy o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.), gdy wykonanie prawa dostępu do danych wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem tych informacji, administrator wykonujący zadanie publiczne może wezwać osobę, której dane dotyczą, do udzielenia informacji pozwalających na ich wyszukanie. W tym przypadku wyjątkowo znajdzie też zastosowanie art. 64 k.p.a.
168– tyle ustaw zostało dostosowanych do wymogów RODO
Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, to w miarę możliwości informacje także należy przekazać w takiej formie. Jeżeli administrator nie będzie podejmować żadnych działań (bo np. uzna żądanie za niezasadne), to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – musi o tym powiadomić zainteresowanego wraz z podaniem informacji, że przysługuje mu możliwość wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
Ustawa wdrożeniowa w wielu miejscach (ale cały czas wycinkowo) wprowadza wymóg posiadania pisemnych upoważnień do pozyskania danych osobowych. Taki mechanizm został wprowadzony np. do prawa zamówień publicznych w nowym art. 8a ust. 7. Nie powinien on jednak zaskoczyć administratorów danych z sektora publicznego, bo jest zgodny z dość powszechną praktyką legalizowania wewnątrzorganizacyjnego dostępu do danych przez nadawanie upoważnień oraz odbieranie oświadczenia o zachowaniu poufności.
Przepisy wprowadzające nie przesądzają, czy upoważnienie do pozyskania danych osobowych może być wydane elektronicznie. Taką możliwość należy jednak dopuścić.
Ani przepisy unijne, ani krajowe nie zawierają ogólnych reguł, jak długo dane mogą być przetwarzane. Rodzi to wiele wątpliwości, szczególne w sektorze publicznym.
Zgodnie z RODO dane osobowe mogą być przetwarzane tak długo, jak jest to niezbędne do realizacji celów, w których są przetwarzane. Można je przechowywać przez okres dłuższy, o ile będą one miały zastosowanie wyłącznie do: celów archiwalnych w interesie publicznym, badań naukowych lub historycznych lub do celów statystycznych („ograniczenie przechowywania”).
Tylko wybrane przepisy wprowadzające określają wyraźnie czas trwania przetwarzania danych. Na przykład w ustawie z 24 września 2010 r. o ewidencji ludności (t.j. Dz.U. z 2018 r. poz. 1382 ze zm.) wprowadzony został przepis, zgodnie z którym zapisy w dziennikach systemów (logach) przechowywane są przez pięć lat od dnia ich utworzenia.
Przedstawiony problem ustawodawca rozwiązał też w inny sposób – wprowadzając mechanizm przeglądów danych. Na przykład w ustawie z 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (t.j. Dz.U. z 2018 r. poz. 1983 ze zm.) wprowadzony został obowiązek dokonywania takich przeglądów danych co pięć lat.
Dane powinny być adekwatne, stosowne oraz ograniczone do celów przetwarzania („minimalizacja danych”). Przepisy wprowadzające tylko czasami przesądzają, jaki zakres danych będzie zgodny z zasadą minimalizacji. W ustawie z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (t.j. Dz.U z 2019 r. poz. 537 ze zm.) wprowadzony został np. przepis, zgodnie z którym marszałek województwa, wykonując zadania związane z realizacją stażu podyplomowego lekarzy i lekarzy dentystów, przetwarza ich dane, m.in. imię i nazwisko, numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość.
Poza przypadkami, w których przepisy wyraźnie wskazują, jaki zakres danych może być przetwarzany, należy stosować reguły ogólne RODO. Wskazany byłby np. przegląd wykorzystywanych przez administratora formularzy – zwłaszcza tam, gdzie ich struktura nie jest ściśle uregulowana prawem. Pozwoli to odpowiedzieć sobie na pytanie, czy zakres pozyskiwanych danych jest minimalny w stosunku do celu przetwarzania.
Jednym z kluczowych wymogów RODO jest konieczność zapewnienia przejrzystości przetwarzania danych. Służy temu przede wszystkim obowiązek informacyjny regulowany art. 13 i 14 rozporządzenia. Chodzi o znane wszystkim klauzule informacyjne wskazujące m.in., kto jest administratorem danych i w jakich celach dane są przetwarzane. Wagę tych obowiązków podkreśliła pierwsza w Polsce kara pieniężna nałożona przez prezesa Urzędu Ochrony Danych Osobowych za naruszenie RODO.
WAŻNE Należy pozyskiwać wyłącznie te dane, które są niezbędne, i w zakresie minimalnym do realizacji określonych celów. Zasada minimalizacji dotyczy także pozyskiwania danych i ujawniania ich innym podmiotom w sektorze publicznym.
Przepisy wprowadzające nie zawierają generalnego wyłączenia realizacji obowiązku informacyjnego w sektorze publicznym. Wyłączenia obejmują zawsze poszczególne cele przetwarzania danych i są nieliczne. Przykładem jest zmieniana ustawa o ponownym wykorzystaniu informacji z sektora publicznego z 25 lutego 2016 r. (t.j. Dz.U. z 2018 r. poz. 1243 ze zm.). Wyłączono z niej wyraźnie konieczność realizacji obowiązku informacyjnego względem osób publicznych, których dane będą publikowane do ponownego wykorzystania poprzez BIP.
W konsekwencji tego wycinkowego wyłączania obowiązków informacyjnych administratorzy danych z sektora publicznego muszą weryfikować, czy w związku z przetwarzaniem danych nie jest potrzebne spełnienie obowiązku informacyjnego (np. na formularzu, przez który pozyskują dane).
WAŻNE Tam, gdzie przepisy wprowadzające nie określają szczególnych reguł w zakresie stosowania RODO, należy stosować ogólne reguły wynikające z rozporządzenia.
Wiele przepisów wprowadzających dookreśla sposób spełnienia obowiązku informacyjnego. W ustawie z 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (t.j. Dz.U. z 2018 r. poz. 1945 ze zm.) wprowadzono np. mechanizm, zgodnie z którym wójt, burmistrz albo prezydent miasta wykonuje obowiązek informacyjny (art. 13 RODO) w związku z realizacją czynności, o których mowa w poszczególnych przepisach tej ustawy, przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie. Ale, co ważne, przepisy wprowadzające nie zawierają generalnego zezwolenia na realizację obowiązków informacyjnych w taki właśnie sposób. W przypadku braku regulacji szczególnej należy stosować zasady ogólne wynikające z RODO.
Obowiązek informacyjny powinien być realizowany w czasie pozyskiwania danych osobowych. Przepisy wprowadzające zawierają modyfikacje w tym zakresie. Najbardziej doniosłe dotyczą stosowania przepisów k.p.a. Ustawodawca wprowadził tam mechanizmy dookreślające ten moment. W art. 61 k.p.a. dodany został np. par. 5, zgodnie z którym organ administracji publicznej przekazuje informacje przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.
Podstawa prawna
Art. 12‒14, art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) (Dz.Urz. UE z 2016 r. L 119, s. 1).
Art. 61 par. 5, art. 64, art. 73, art. 74a, art. 236 ustawy z 14 czerwca 1960 r. ‒ Kodeks postępowania administracyjnego (t.j. Dz.U. z 2018 r. poz. 2096 ze zm.).
Art. 5 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.).
Art. 8a ust. 7 ustawy z 29 stycznia 2004 r. – Prawo zamówień publicznych (t.j. Dz.U. z 2018 r. poz. 1986 ze zm.).
Dalszy ciąg materiału pod wideo
Powiązane
-
RODO nie jest głupie, ale bywa głupio stosowane Do przepisów o ochronie danych osobowych trzeba podchodzić nie tylko z głową, ale...
-
Administrator naruszył RODO: Prezes UODO go za to nie ukarał, bo dane nie są już bezprawnie przetwarzane. Nowe podejście organu? Urząd odstąpił od nałożenia sankcji na spółdzielnię, która w sposób nieuprawniony...
-
RODO nie zawsze pomoże w walce z niechcianymi telefonami
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Reklama
Reklama
Reklama
Reklama
Reklama