Nowa regulacja nie porządkuje całościowo kwestii ochrony danych w jednostkach samorządu terytorialnego, tylko uzupełnia lub uszczegóławia znane mechanizmy. Zawiera jednak wiele ograniczeń w stosunku do administratora danych
Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych (Dz.U. poz. 730; dalej: ustawa wdrożeniowa lub ustawa wprowadzająca) zmienia wiele przepisów krajowych, także dotyczących samorządu terytorialnego czy szerzej administracji publicznej. Poniżej przedstawiamy subiektywny wykaz najważniejszych zmian, na które należy zwrócić uwagę.
4 Maja sobota
– tego dnia zaczęły obowiązywać zmiany wynikające z ustawy wdrożeniowej

1. ochrona źródła

Strony i uczestnicy postępowania administracyjnego nie uzyskają już danych o osobie skarżącej. Chyba że ona sama zezwoli organowi na ich udostępnienie.
Do tej pory te informacje można było pozyskiwać na podstawie art. 15 ust. 1 lit. g RODO. Unijne rozporządzenie nie zawiera bowiem wyraźnego zakazu przekazywania informacji o źródle danych, mimo że występuje tu ryzyko naruszenia praw lub wolności (tu: skarżącego).
WAŻNE Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości, wynikającej z kosztów administracyjnych.
Polski ustawodawca zauważył ten problem i dlatego wiele przepisów wprowadzających zawiera mechanizm wyłączający stosowanie tego artykułu. Najbardziej doniosła jest zmiana w art. 236 kodeksu postępowania administracyjnego (dalej: k.p.a.), dotyczącego trybu skargowego. Zgodnie z jego nowym brzmieniem w przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi art. 15 ust. 1 lit. g RODO nie stosuje się w stosunku do strony i uczestnika postępowania.

2. dostęp do akt postępowania

Osoby spoza kręgu stron postępowania administracyjnego, np. świadkowie, mają prawo dostępu do swoich danych, a także uzyskania ich kopii. Do tej pory były w tej kwestii wątpliwości. W tym zakresie kluczowe znaczenie mają dwa nowelizowane przepisy k.p.a.: art. 73 oraz 74a. Wyraźnie przesądzają, że prawo strony do wglądu w akta nie ogranicza prawa dostępu do danych realizowanego przez osobę, której one dotyczą, a np. nie jest stroną. Ale uwaga! Chodzi o dostęp do swoich danych osobowych, a nie danych innej osoby. Dlatego w praktyce istotne będzie ograniczenie możliwości uzyskania informacji np. o zarobkach innych (poprzez anonimizację).
Przypomnieć należy, że tryb prawa dostępu do danych określają art. 12 i 15 RODO, a nie k.p.a. Zgodnie z zawartymi w nich terminami od otrzymania żądania udostępniania danych administrator ma maksymalnie miesiąc na poinformowanie, jakie w związku z tym podjął działania. Termin ten można przedłużyć o kolejne dwa miesiące, jeśli żądanie ma skomplikowany charakter. O przedłużeniu i jego przyczynach administrator musi poinformować zainteresowanego.
Zgodnie z art. 5 ust. 2 ustawy o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.), gdy wykonanie prawa dostępu do danych wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem tych informacji, administrator wykonujący zadanie publiczne może wezwać osobę, której dane dotyczą, do udzielenia informacji pozwalających na ich wyszukanie. W tym przypadku wyjątkowo znajdzie też zastosowanie art. 64 k.p.a.
168– tyle ustaw zostało dostosowanych do wymogów RODO
Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, to w miarę możliwości informacje także należy przekazać w takiej formie. Jeżeli administrator nie będzie podejmować żadnych działań (bo np. uzna żądanie za niezasadne), to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – musi o tym powiadomić zainteresowanego wraz z podaniem informacji, że przysługuje mu możliwość wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

3. upoważnienia do przetwarzania

Ustawa wdrożeniowa w wielu miejscach (ale cały czas wycinkowo) wprowadza wymóg posiadania pisemnych upoważnień do pozyskania danych osobowych. Taki mechanizm został wprowadzony np. do prawa zamówień publicznych w nowym art. 8a ust. 7. Nie powinien on jednak zaskoczyć administratorów danych z sektora publicznego, bo jest zgodny z dość powszechną praktyką legalizowania wewnątrzorganizacyjnego dostępu do danych przez nadawanie upoważnień oraz odbieranie oświadczenia o zachowaniu poufności.
Przepisy wprowadzające nie przesądzają, czy upoważnienie do pozyskania danych osobowych może być wydane elektronicznie. Taką możliwość należy jednak dopuścić.

4. okres przetwarzania i przeglądy

Ani przepisy unijne, ani krajowe nie zawierają ogólnych reguł, jak długo dane mogą być przetwarzane. Rodzi to wiele wątpliwości, szczególne w sektorze publicznym.
Zgodnie z RODO dane osobowe mogą być przetwarzane tak długo, jak jest to niezbędne do realizacji celów, w których są przetwarzane. Można je przechowywać przez okres dłuższy, o ile będą one miały zastosowanie wyłącznie do: celów archiwalnych w interesie publicznym, badań naukowych lub historycznych lub do celów statystycznych („ograniczenie przechowywania”).
Tylko wybrane przepisy wprowadzające określają wyraźnie czas trwania przetwarzania danych. Na przykład w ustawie z 24 września 2010 r. o ewidencji ludności (t.j. Dz.U. z 2018 r. poz. 1382 ze zm.) wprowadzony został przepis, zgodnie z którym zapisy w dziennikach systemów (logach) przechowywane są przez pięć lat od dnia ich utworzenia.
Przedstawiony problem ustawodawca rozwiązał też w inny sposób – wprowadzając mechanizm przeglądów danych. Na przykład w ustawie z 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (t.j. Dz.U. z 2018 r. poz. 1983 ze zm.) wprowadzony został obowiązek dokonywania takich przeglądów danych co pięć lat.

5. zakres informacji a zasada minimalizacji

Dane powinny być adekwatne, stosowne oraz ograniczone do celów przetwarzania („minimalizacja danych”). Przepisy wprowadzające tylko czasami przesądzają, jaki zakres danych będzie zgodny z zasadą minimalizacji. W ustawie z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (t.j. Dz.U z 2019 r. poz. 537 ze zm.) wprowadzony został np. przepis, zgodnie z którym marszałek województwa, wykonując zadania związane z realizacją stażu podyplomowego lekarzy i lekarzy dentystów, przetwarza ich dane, m.in. imię i nazwisko, numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość.
Poza przypadkami, w których przepisy wyraźnie wskazują, jaki zakres danych może być przetwarzany, należy stosować reguły ogólne RODO. Wskazany byłby np. przegląd wykorzystywanych przez administratora formularzy – zwłaszcza tam, gdzie ich struktura nie jest ściśle uregulowana prawem. Pozwoli to odpowiedzieć sobie na pytanie, czy zakres pozyskiwanych danych jest minimalny w stosunku do celu przetwarzania.

6. obowiązek informacyjny

Jednym z kluczowych wymogów RODO jest konieczność zapewnienia przejrzystości przetwarzania danych. Służy temu przede wszystkim obowiązek informacyjny regulowany art. 13 i 14 rozporządzenia. Chodzi o znane wszystkim klauzule informacyjne wskazujące m.in., kto jest administratorem danych i w jakich celach dane są przetwarzane. Wagę tych obowiązków podkreśliła pierwsza w Polsce kara pieniężna nałożona przez prezesa Urzędu Ochrony Danych Osobowych za naruszenie RODO.
WAŻNE Należy pozyskiwać wyłącznie te dane, które są niezbędne, i w zakresie minimalnym do realizacji określonych celów. Zasada minimalizacji dotyczy także pozyskiwania danych i ujawniania ich innym podmiotom w sektorze publicznym.
Przepisy wprowadzające nie zawierają generalnego wyłączenia realizacji obowiązku informacyjnego w sektorze publicznym. Wyłączenia obejmują zawsze poszczególne cele przetwarzania danych i są nieliczne. Przykładem jest zmieniana ustawa o ponownym wykorzystaniu informacji z sektora publicznego z 25 lutego 2016 r. (t.j. Dz.U. z 2018 r. poz. 1243 ze zm.). Wyłączono z niej wyraźnie konieczność realizacji obowiązku informacyjnego względem osób publicznych, których dane będą publikowane do ponownego wykorzystania poprzez BIP.
W konsekwencji tego wycinkowego wyłączania obowiązków informacyjnych administratorzy danych z sektora publicznego muszą weryfikować, czy w związku z przetwarzaniem danych nie jest potrzebne spełnienie obowiązku informacyjnego (np. na formularzu, przez który pozyskują dane).
WAŻNE Tam, gdzie przepisy wprowadzające nie określają szczególnych reguł w zakresie stosowania RODO, należy stosować ogólne reguły wynikające z rozporządzenia.
Wiele przepisów wprowadzających dookreśla sposób spełnienia obowiązku informacyjnego. W ustawie z 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (t.j. Dz.U. z 2018 r. poz. 1945 ze zm.) wprowadzono np. mechanizm, zgodnie z którym wójt, burmistrz albo prezydent miasta wykonuje obowiązek informacyjny (art. 13 RODO) w związku z realizacją czynności, o których mowa w poszczególnych przepisach tej ustawy, przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie. Ale, co ważne, przepisy wprowadzające nie zawierają generalnego zezwolenia na realizację obowiązków informacyjnych w taki właśnie sposób. W przypadku braku regulacji szczególnej należy stosować zasady ogólne wynikające z RODO.
Obowiązek informacyjny powinien być realizowany w czasie pozyskiwania danych osobowych. Przepisy wprowadzające zawierają modyfikacje w tym zakresie. Najbardziej doniosłe dotyczą stosowania przepisów k.p.a. Ustawodawca wprowadził tam mechanizmy dookreślające ten moment. W art. 61 k.p.a. dodany został np. par. 5, zgodnie z którym organ administracji publicznej przekazuje informacje przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.
Podstawa prawna
Art. 12‒14, art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) (Dz.Urz. UE z 2016 r. L 119, s. 1).
Art. 61 par. 5, art. 64, art. 73, art. 74a, art. 236 ustawy z 14 czerwca 1960 r. ‒ Kodeks postępowania administracyjnego (t.j. Dz.U. z 2018 r. poz. 2096 ze zm.).
Art. 5 ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.).
Art. 8a ust. 7 ustawy z 29 stycznia 2004 r. – Prawo zamówień publicznych (t.j. Dz.U. z 2018 r. poz. 1986 ze zm.).