Nowo uchwalona ustawa o pomocy państwa w wychowaniu dzieci (tzn. 500+) nie tylko zajęła się kwestiami dodatku na drugie i kolejne dziecko, ale także wprowadziła dwie istotne zmiany do ustawy o ochronie danych osobowych. Ku zaskoczeniu ekspertów z obszaru prywatności, ustawa 500+ zmieniła podstawowe zasady dotyczące administratora danych w przypadku jednostek państwowych i samorządowych. Zgodnie z nowo dodanym do ustawy o ochronie danych osobowych art. 23 ust. 2a organy państwowe i samorządowe oraz państwowe i komunalne jednostki organizacyjne będą uznawane za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.
Abstrahując od wątpliwości interpretacyjnych, czym jest interes publiczny, powstaje problem związany ze statusem odrębnych podmiotów publicznych zamienionych w jednego administratora danych. W miejsce dotychczasowych kilku administratorów, pod szyldem wspólnego interesu publicznego, pojawi się nieznany europejskiemu prawu ochrony danych, jeden wielopodmiotowy administrator danych.
Co to oznacza w praktyce? Przede wszystkim brak konieczności stosowania przepisów dotyczących udostępniania danych osobowych innemu administratorowi. Nie będzie już obowiązku oparcia się na przesłance upoważniającej do przekazania. Nie będzie także konieczności poinformowania osoby, której dane są przekazywane, że takie przekazanie ma miejsce.
Powstaje pytanie: który z organów uznawanych za jednego administratora ma wykonywać obowiązki informacyjne, który ma zgłaszać zbiór do rejestracji, który ma realizować uprawnienia podmiotów danych. W sprzeczności z dyrektywą 95/46 o ochronie danych osobowych, jak również z rozporządzeniem UE o ochronie danych osobowych, na którym kończą się właśnie prace, ustawą 500+ zniesiono także obowiązek zawierania umowy o powierzenie danych pomiędzy podmiotami państwowymi i samorządowymi. Przeciwko wprowadzonym zmianom wypowiedział się generalny inspektor ochrony danych osobowych, bezskutecznie żądając wykreślenia ich z projektu ustawy 500+.
Podobnie jak sektor prywatny jednostki państwowe i samorządowe podlegają ustawie o ochronie danych osobowych, z zastrzeżeniem, że jeśli przepis szczególny zawiera dalej idącą ochronę, będzie miał on pierwszeństwo. Organy publiczne muszą przestrzegać obowiązujących zakresie zasad ochrony danych osobowych, w tym dotyczących istnienia przesłanki, na podstawie której dochodzi do przetwarzania danych. W większości przypadków dla podmiotów publicznych będzie to przepis ustawy. Konieczne jest także przestrzeganie zasady adekwatności, zezwalającej przetwarzać dane jedynie proporcjonalnie do zamierzonego celu. Państwowy czy samorządowy administrator ma także obowiązki w zakresie zapewnienia bezpieczeństwa danych, rejestracji zbiorów, a także obowiązki informacyjne względem podmiotu danych.