Przez ustawę 500 plus dane osobowe rodzin dostępne niemal dla wszystkich

Ustawa o pomocy państwa w wychowaniu dzieci (tzw. ustawa 500+) była inicjatywą rządową i na etapie przygotowywania i konsultowania projektu nie było mowy o nowelizowaniu „przy okazji" ustawy o ochronie danych osobowych. Propozycja zmiany pojawiła się na etapie obrad Komitetu Stałego Rady Ministrów, nie bez przyczyny – opublikowanemu wcześniej projektowi zarzucono m.in., że zakłada zbieranie danych osobowych dotyczących osób korzystających z programu, które miały być następnie udostępniane administracji rządowej przez administrację samorządową dokonującą wypłat na podstawie ustawy. Ta procedura udostępniania danych od początku wzbudzała wiele wątpliwości – mówiąc wprost, nie miała żadnych podstaw prawnych. Co więc na to autorzy projektu? Zaproponowano zmiany w ustawie o ochronie danych osobowych jako odpowiedź na uwagi do projektu.

Kilku administratorów

W efekcie w uchwalonej ustawie 500+ znalazł się art. 38 wprowadzający dwie – fundamentalne – zmiany w prawie ochrony danych osobowych. Po pierwsze, w art. 23 ustawy o ochronie danych osobowych po ust. 2 dodano ust. 2a w brzmieniu: „Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu". Po drugie, w art. 31 po ust. 2 dodano ust. 2a w brzmieniu: „Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1".

Pierwsza zmiana dotyczy pojęcia administratora danych w sferze publicznej (organy władzy publicznej i podmioty prywatne wykonujące zadania publiczne). Administrator danych to fundamentalna instytucja dla prawa ochrony danych osobowych – to podmiot, który podejmuje decyzje dotyczące przetwarzanych przez niego danych osobowych (decyduje o celach i środkach przetwarzania danych) i który ponosi odpowiedzialność za przetwarzane przez siebie dane osobowe.

Ponosi odpowiedzialność, a więc osoby, których dane dotyczą, mogą złożyć skargę na jego działania i zaniechania do generalnego inspektora ochrony danych osobowych, a GIODO może mu nakazać lub zakazać określonych działań.

Organy władzy publicznej, będąc administratorami danych, nie korzystają z takiej swobody jak podmioty ze sfery prawa prywatnego – władza publiczna może z naszymi danymi osobowymi zrobić to, na co zezwala jej prawo.

To przepisy prawa wyznaczają zakres uprawnień władzy publicznej wobec naszych danych osobowych i tej zasady ustawa 500+ nie zmienia (jej zmiana wymagałaby zmiany konstytucji). Ale nowy art. 23 ust. 2a ustawy o ochronie danych osobowych powoduje, że organy władzy publicznej, które na podstawie przepisów prawa przetwarzają nasze dane osobowe dla realizacji tego samego interesu publicznego, uważane są za jednego administratora danych.

Czymże jest więc ten „interes publiczny" i co to znaczy, że kilka podmiotów uznawanych jest za jednego administratora danych?

Leksykon Prawa Administracyjnego (Warszawa 2009, s. 100–104) definiuje interes publiczny jako relację między jakimś stanem obiektywnym (aktualnym lub przyszłym) a oceną tego stanu z punktu widzenia korzyści, które on przynosi lub może przynieść jakiejś jednostce lub grupie społecznej. Wiemy, czym jest interes publiczny? Nie, nie wiemy. Leksykon Prawa Gospodarczego Publicznego (Warszawa 2009, s. 66–72) opisuje interes publiczny jako normatywną wskazówkę powinnościową wyznaczającą zakres i treść wartości uznawanych przez daną społeczność za zasługujące na ochronę bez względu na indywidualne przekonania jednostek. Czy coś nam to mówi? Niewiele. I tak dalej, i tak dalej, monografia za monografią – nie da się odpowiedzieć konkretnie, czym jest ten „interes publiczny". A za pomocą tego pojęcia mamy obecnie oceniać, kto jest administratorem danych osobowych w sferze publicznej.

Zapomniano o definicji

Załóżmy przez chwilę, że wiemy, czym jest interes publiczny: podmioty, które przetwarzają dane dla tego samego interesu publicznego, uważa się za jednego administratora danych. Jednego? Raczej te podmioty są jednocześnie administratorem tych samych danych, bo autorzy projektu ustawy 500+ zapomnieli zmienić definicję administratora danych, którym w sferze publicznej nadal jest organ (władzy publicznej).

Nie ma więc „zbiorowego" administratora danych – kilka podmiotów jest nim jednocześnie wobec tych samych danych. Przykład? Żeby pozostać na gruncie ustawy 500+: administratorem danych osób korzystających ze wsparcia dla rodzin będą jednocześnie organy gmin wypłacające świadczenia oraz wszelkie inne organy władzy publicznej (administracji rządowej), które wykonują ustawę (bo wszystkie działają dla tego samego interesu publicznego, jaki tutaj akurat łatwo jest zidentyfikować: jest nim wsparcie rodzin).

Efekt? Przekazywanie danych pomiędzy tymi podmiotami nie będzie już udostępnianiem danych, a więc nie wymaga zaistnienia żadnej szczególnej podstawy prawnej; będzie się odbywało tak, jak przekazanie danych pomiędzy wydziałami tego samego urzędu. Oznacza to, że organy władzy publicznej, które nie są właściwe w danej sprawie, będą miały teraz dostęp do naszych danych osobowych jako ich współadministrator. Na zasadzie działania w tym samym interesie publicznym. Beneficjentem tych nowych uprawnień będzie w większości administracja rządowa – wystarczy, że finansuje określone działania, i już można twierdzić, że przez to działa w tym samym interesie publicznym. Gwałtownie zwiększy się więc zakres organów władzy publicznej, które będą miały dostęp do naszych danych.

Administratorem danych osobowych w sferze publicznej nadal więc pozostaje organ, któremu prawo zezwala na przetwarzanie określonych danych – który jest właściwy w sprawie. Ale ponieważ nie wiemy na pewno, czym jest „interes publiczny", nie wiemy, jaki jeszcze inny organ będzie współadministratorem tych samych danych. W efekcie nie wiemy, kto ponosi odpowiedzialność za przetwarzanie konkretnych danych. Jest to stan sprzeczny i z dyrektywą 95/46 w sprawie ochrony danych osobowych, i z nowym rozporządzeniem ogólnym w sprawie ochrony danych osobowych, które zostanie przyjęte przez organy Unii Europejskiej w ciągu najbliższych miesięcy.

Przetwarzanie bez umowy

Dokładnie taki sam efekt – niepewność – przynosi druga zmiana, czyli brak obowiązku zawierania umów powierzenia przetwarzania danych między organami władzy publicznej – nie będzie wiadomo, kto jest kim (administratorem lub procesorem) wobec konkretnych danych osobowych. Jest to sprzeczne z obowiązującym i nadchodzącym europejskim prawem ochrony danych osobowych.

Jak w tej sytuacji powinni postępować administratorzy danych ze sfery publicznej? Nie zmieniła się definicja administratora danych – ten, kto był administratorem dotychczas, pozostaje nim nadal. Pojawił się nowy element wskazujący w sektorze publicznym na pozycję administratora (współadministratora) danych – interes publiczny. Skutkiem może być gwałtowny wzrost zainteresowania danymi osobowymi podmiotów, którym dotychczas nie przysługiwał wobec nich status administratora – a które teraz będą się powoływać na interes publiczny w celu uzyskania dostępu. Gdy dotychczasowy jedyny administrator będzie miał wątpliwości co do statusu nowego współadministratora, nie pozostaje nic innego, jak odmówić dostępu do danych i czekać na rozstrzygnięcie GIODO – który będzie musiał zmierzyć się z pojęciem interesu publicznego. Podmioty ze sfery publicznej nie zawierają już między sobą umów powierzenia – co nie znaczy, że przekazują dane bez żadnej kontroli. Wręcz przeciwnie, na administratorze danych nadal ciąży prawny obowiązek zabezpieczenia danych przez ich udostępnieniem osobom nieupoważnionym, co wymaga sprawowania przez niego kontroli nad tym, komu przekazuje dane osobowe, nawet jeżeli prawo nie wymaga już zawierania umów powierzenia.

Autor jest adwokatem z Instytutu Allerhanda

Publicystyka Renty Dane Osobowe

Pozostało 89% artykułu