iSecure logo
Blog

Nowelizacja ustawy o ochronie danych osobowych

Kategorie

Ustawa o pomocy państwa w wychowaniu dzieci budzi dużo emocji oraz kontrowersji. Jedni twierdzą, że jest to niezbędny krok w stronę uatrakcyjnienia obywatelom idei zakładania rodziny, inni, że Polska nie jest na proponowane rozwiązania gotowa organizacyjnie, ekonomicznie ani prawnie. Abstrahując od głównych idei przyświecających ustawodawcy w pracach legislacyjnych, przyjrzyjmy się zmianom, które rzeczona ustawa wprowadza bezpośrednio do ustawy o ochronie danych osobowych.

Pojęcie „zbiorczego” administratora danych osobowych

Art. 38 ust. 1 omawianej ustawy wprowadza zupełnie nowe rozwiązanie w polskim porządku prawnym – uznanie więcej niż jednego podmiotu za jednego administratora danych osobowych, o ile są to podmioty publiczne[1] mające zbieżny interes publiczny przy przetwarzaniu tych danych. Z jednej strony wprowadzenie tożsamego interesu publicznego, jako warunku uznania różnych organów państwowych za jednego administratora danych, wydaje się w pewnym sensie chronić interes przeciętnego Kowalskiego – może nawet jest dla niego korzystne. Dzięki wprowadzonej zmianie załatwienie sprawy, i to nie tylko sprawy z zakresu świadczenia wychowawczego, bo ustawodawca nie wprowadza takiego ograniczenia, może okazać się łatwiejsze i szybsze skoro organy państwowe działające w tej sprawie będą mogły wymieniać się danymi. Podobnymi argumentami posługuje się właśnie autor omawianej nowelizacji w uzasadnieniu do zmian postulując, iż „Proponowana zmiana ma na celu wyeliminowanie problemów [związanych z weryfikacją efektywności mechanizmów pomocowych] i ułatwienie przekazywania danych między organami administracji publicznej[2].”

Z drugiej jednak strony warto zwrócić uwagę na nieostrość pojęcia interesu publicznego. Nie jest to oczywiście sformułowanie nowe w polskim ustawodawstwie – jego użycie możemy odnotować w wielu ustawach, od Konstytucji poczynając. Ciekawy pogląd w temacie przedstawia Aleksandra Wilczyńska wskazując, że „Ustawodawca, wyposażając pojęcia zawarte w tekstach prawnych w pewną dozę ogólności, doprowadza do sytuacji, w której organ orzekający dysponuje większą swobodą w procesie decyzyjnym (co nie oznacza jednak swobodny pełnej), a ta niedookreśloność pozwala na uelastycznienie procesu stosowania prawa, poprzez konieczność każdorazowego przeanalizowania indywidualnego przypadku i wszystkich towarzyszących mu warunków i okoliczności”[3].

Jednocześnie należy pamiętać, na co GIODO zwraca szczególną uwagę w swoim wystąpieniu, że każdy z podmiotów, do którego dane trafią, a który będzie się „składał na zbiorczego administratora danych”, będzie miał zadanie dotrzymania wszelkich obowiązków, jakich na administratorów nakładają przepisy o ochronie danych osobowych. Wprowadzenie zatem konstrukcji łączenia wielu administratorów w jednego, z praktycznego punktu widzenia niewiele zmieni dla podmiotów faktycznie przetwarzających dane w zakresie ich zadań i obowiązków.

Bezumowne powierzenie danych

Drugą zmianą, jaką bezpośrednio do UODO wprowadza ustawa o pomocy państwa w wychowywaniu dzieci jest przyjęcie, iż nie ma potrzeby zawierania umowy powierzenia danych między organami państwowymi, organami samorządu terytorialnego oraz państwowymi i komunalnymi jednostkami organizacyjnymi w przypadku ich powierzania danych między tymi podmiotami. Polska  konstrukcja prawna obecnie nie przewiduje instytucji bezumownego powierzenia danych. Co prawda zgodnie z art. 17 ust. 3 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, przetwarzanie może być w porządku krajowym regulowane przez akt prawny, jednakże należy zwrócić uwagę, że umożliwienie bezumownego powierzenia danych bez określenia dokładnych warunków, na których miało by się ono odbywać oraz doprecyzowania kryteriów może budzić w przyszłości wątpliwości interpretacyjne.

Zmiany a prawo europejskie

Na nowelizację UODO warto spojrzeć z perspektywy prawa europejskiego, biorąc pod uwagę dyrektywę 95/46/WE w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, której UODO stanowi implementację. Wprowadzane zmiany wydają się w sprzeczności z tym aktem, gdyż nie przewiduje on analogicznych rozwiązań – „zbiorczego” administratora danych. Obecny model przetwarzania tych danych opiera się na konstrukcji jednoznacznie identyfikowalnego administratora danych, który jest najważniejszym podmiotem w procesie ich przetwarzania.

Uwagi do pozostałych zmian

Ustawa o pomocy państwa w wychowywaniu dzieci również w niebezpośredni sposób wpływa na kwestie związane z przetwarzaniem danych osobowych. Art.13 ust 3 ustawy wprowadza katalog danych, które powinien zawierać wniosek o przyznanie świadczenia wychowawczego. Poprzez użycie sformułowania „w tym” katalog ten ma charakter otwarty, co może prowadzić do sytuacji, w której dane przetwarzane będą w różnym, nieokreślonym zakresie przez różnych administratorów, mimo tożsamości przedmiotowej prowadzonych spraw. Jednocześnie, katalog nie przewiduje wprost miejsca na dane osoby wychowującej dziecko wraz z osobą składającą wniosek, które mogą być istotne przy ustaleniu prawa do świadczenia na pierwsze dziecko, gdzie występuje kryterium dochodowe w przeliczeniu na osobę w rodzinie.

Ponadto ustawa o pomocy państwa w wychowywaniu dzieci w art. 24 ust. 1 nadaje ogólną kompetencję do przetwarzania danych osobowych osoby ubiegającej się o świadczenie oraz członków jej rodziny podmiotom realizującym zadania wskazane w ustawie oraz właścicielom systemów informatycznych, za pomocą których przetwarzane będą wnioski o przyznanie świadczenia (ustawa przewiduje składanie wniosków drogą elektroniczną dając czas na dostosowanie systemów teleinformatycznych do stycznia 2018 roku). Dyspozycja ta cechująca się dużym stopniem ogólności może prowadzić do wątpliwości interpretacyjnych oraz potencjalnych nadużyć – nie wskazuje bowiem kto i w jakich sytuacjach jest uprawniony do przetwarzania tych danych.

Tryb wprowadzenia art. 38 do ustawy, stanowisko GIODO

Art. 38 zmieniający bezpośrednio UODO został wprowadzony do ustawy podczas obrad stałego Komitetu Rady Ministrów, co jak podkreśla GIODO uniemożliwiło mu zabranie głosu w sprawie.

GIODO w piśmie z dnia 9 lutego 2016 r. postuluje o usunięcie z omawianego projektu całego art. 38 tzn. zrównującego administratorów w przypadku zbieżnego interesu publicznego w przetwarzaniu danych oraz umożliwiającego bezumowne powierzanie danych.[4] W związku z tym, iż do usunięcia nie dochodzi, w komunikacie z 10 marca wskazuje, że będzie interpretował dodany art. 38 z uwzględnieniem swoich uwag oraz dążył do jego zmiany.[5]


[1] Odniesienie do art. 3 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – „(…)  organów  państwowych,  organów  samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.”

[2] Źródło: https://legislacja.rcl.gov.pl/docs//2/12279566/12326824/12326825/dokument206588.pdf dostęp: 15 marca 2016 r.

[3] Źródło: http://www.lex.pl/akt/-/akt/interes-publiczny-w-prawie-stanowionym-i-orzecznictwie-trybunalu-konstytucyjnego dostęp 15 marca 2016 r.

[4] Źródło: http://www.giodo.gov.pl/259/id_art/9052/j/pl dostęp 15 marca 2016 r.

[5] Źródło: http://www.giodo.gov.pl/560/id_art/9121/j/pl/ dostęp 15 marca 2016r.

Podobne wpisy:

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Zbiory doraźne

W dzisiejszym wpisie chciałbym poruszyć tematykę zbiorów doraźnych, ponieważ mimo na pozór dość prostego przepisu prawa (art. 2 ust. 3 ustawy o ochronie danych osobowych), zagadnienie nie jest wcale takie proste i oczywiste. Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Nowe obowiązki dostawców publicznych usług telekomunikacyjnych

Nowe obowiązki dostawców publicznych usług telekomunikacyjnych

Nowelizacja ustawy Prawo telekomunikacyjne niesie za sobą również zmiany w zakresie obowiązków dostawców publicznych usług telekomunikacyjnych nakładając na nich szereg nowych czynności związanych z informowaniem Generalnego Inspektora Ochrony Danych Osobowych (dalej GIODO) jak również użytkowników usług w przypadku naruszenia bezpieczeństwa danych osobowych.

Awaria serwera

Awaria serwera

Co tu dużo pisać – od środy strona iSecure nie była widoczna w Internecie, ponieważ serwer na którym była postawiona, miał awarię. Do tego nakładał się na to wszystko nasz wyjazd na Spodek 2.0 (bardzo fajna impreza!) i w zasadzie dopiero w czwartek mogliśmy coś zacząć działać, by reaktywować stronę. Na tę chwilę wszystko powinno już dobrze działać, a pierwsza awaria w historii iSecure stała się… historią.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki