Ochrona danych osobowych w procedurze administracyjnej

Celem nowych regulacji jest zharmonizowanie rozwiązań zawartych w ustawach z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Dokonuje tego ustawa z 21 lutego 2019 r. (dalej nowelizacja), która zmienia 162 ustaw, w tym kodeks postępowania administracyjnego (dalej k.p.a.). Większość przepisów nowelizacji, w tym zmiany w k.p.a., wejdą w życie 4 maja 2019 r.

Czytaj także: Przewodnik po RODO dla administracji - odpowiedzi na konkretne pytania urzędników

Wymóg przekazania informacji

W art. 13 ust. 1 RODO określono informacje, jakie trzeba podawać w razie zbierania danych od osoby, której dotyczą dane. W takim przypadku administrator, podczas pozyskiwania danych, podaje m.in. swoją tożsamość i dane kontaktowe, dane kontaktowe inspektora ochrony danych (por. art. 37 RODO), cele przetwarzania danych i podstawę prawną przetwarzania oraz informacje o odbiorcach danych. Podczas pozyskiwania danych osobowych, administrator podaje osobie, której dotyczą dane, także inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, a w tym m.in. okres, przez który dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu oraz informacje o prawie do żądania od administratora dostępu do danych, ich sprostowania czy ograniczenia przetwarzania (art. 13 ust. 2 RODO).

Po nowelizacji, k.p.a. będzie regulować sposób wykonywania obowiązku wynikającego z art. 13 ust. 1 i 2 RODO, w postępowaniach unormowanych tym kodeksem. Wykonywanie obowiązku podawania informacji w razie zbierania danych od osoby, której dotyczą dane, będzie odbywać się niezależnie od obowiązków organów przewidzianych w k.p.a. oraz nie będzie wpływać na tok i wynik postępowania. Art. 18 ust. 1 RODO określa przypadki, gdy osoba, której dotyczą dane, ma prawo żądania od administratora ograniczenia ich przetwarzania (np. gdy dana osoba kwestionuje prawidłowość danych i żąda ograniczenia ich przetwarzania - na okres pozwalający administratorowi na sprawdzenie ich prawidłowości). Również wystąpienie z takim żądaniem nie wpłynie na tok i wynik postępowania prowadzonego przez organ zgodnie z k.p.a.

Wypełnianie prawnego obowiązku

W myśl art. 6 ust. 1 pkt c RODO zgodne z prawem jest przetwarzanie danych niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. W uzasadnieniu nowelizacji zwrócono uwagę, że organ administracji publicznej - z uwagi na przetwarzanie danych na podstawie tego przepisu - nie ma obowiązku informowania stron postępowania o prawie do wniesienia sprzeciwu, o prawie do przenoszenia danych, o prawie do bycia zapomnianym czy o prawie do cofnięcia zgody na przetwarzanie danych. Korzystanie z tych praw jest bowiem wyłączone na gruncie samego RODO - w zakresie, w jakim podstawą przetwarzania danych jest obowiązek ciążący na administratorze wynikający z przepisów prawa.

Procedura zawarta w k.p.a. nie będzie także obejmować obowiązków informacyjnych z art. 14 RODO (chodzi tu o informacje podawane w razie pozyskiwania danych w sposób inny niż od osoby, której dotyczą dane). Zgodnie z art. 14 ust. 5 lit. c RODO administrator danych osobowych - pozyskując dane nie od osoby, której dotyczą dane - nie musi wypełniać obowiązku informacyjnego z art. 14 ust. 1 i 2 RODO, gdy pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dotyczą dane.

Przy pierwszej czynności

Po nowelizacji, informacje, o których mowa w art. 13 ust. 1 i 2 RODO, trzeba będzie m.in.:

- zawrzeć w wezwaniu, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie (art. 54 § 1a k.p.a.),

- podać przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie (art. 61 § 5 k.p.a.),

- w sprawach załatwianych milcząco - udostępnić w Biuletynie Informacji Publicznej na stronie podmiotowej organu, na jego stronie internetowej oraz w widocznym miejscu w siedzibie organu, przy czym przekazanie informacji w ten sposób nie będzie zwalniać organu z obowiązku ich przekazania przy pierwszej czynności skierowanej do strony (art. 122h k.p.a.).

Zgodnie z uzasadnieniem nowelizacji, zasadą będzie więc przekazanie informacji przy pierwszej czynności organu skierowanej do osoby fizycznej (w zawiadomieniu o wszczęciu postępowania, w wezwaniu do uzupełnienia itp. – w zależności od tego, która z tych czynności miała miejsce jako pierwsza), chyba, że dana osoba jest już w posiadaniu tych informacji (np. były one zawarte w formularzu, który ściągnęła ze strony internetowej i wypełniła w celu przesłania do organu). Nowelizacją uzupełniono także art. 73 k.p.a. i art. 236 k.p.a., w celu ochrony danych osoby składającej skargę.