Szeroko komentowana ustawa z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (tzw. ustawa 500+), która zacznie obowiązywać od 1 kwietnia br., niejako przy okazji modyfikuje model ochrony danych osobowych. A wszystko przez art. 38 ustawy 500+, który wprowadza dwie zasadnicze zmiany w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [I]:
Po pierwsze, w art. 23 po ust. 2 dodany został ust. 2a w brzmieniu następującym: „Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.” Po drugie, w art. 31 po ust. 2 dodany został ust. 2a w brzmieniu: „Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.”.
Pierwsza zmiana polega faktycznie na wprowadzeniu jednego „zbiorowego” administratora danych osobowych, którym wkrótce będą organy państwowe, organy samorządu terytorialnego a także państwowe i komunalne jednostki organizacyjne pod warunkiem, że przetwarzanie przez nich danych służy temu samemu interesowi publicznemu. Bardziej poprawne w świetle polskiego prawa ochrony danych osobowych byłoby w tej sytuacji mówienie o wielości administratorów tych samych danych osobowych, ponieważ obowiązująca ustawa nie zna pojęcia „zbiorowego” administratora danych osobowych (ustawowa definicja administratora danych osobowych nie uległa żadnej zmianie).
Kontrowersyjność tego rozwiązania może polegać m.in. na ryzyku rozmycia odpowiedzialności, którą do tej pory ponosił jednoznacznie określony administrator danych osobowych za przetwarzanie danych osobowych. Ta odpowiedzialność nabiera szczególnego wymiaru w sferze publicznej, ponieważ w odniesieniu do organów władzy publicznej o celu i środkach przetwarzania danych osobowych decyduje ustawodawca. Jest to konsekwencją zasady legalizmu, zgodnie z którą organy władzy publicznej (administracji publicznej) działają na podstawie i w granicach określonych przepisami prawa [II]. Podmioty publiczne są zobowiązane do przetwarzania danych osobowych dla realizacji określonych ustawowo celów. Zazwyczaj także środki, jakie służyć mają przetwarzaniu danych osobowych, wskazane są w przepisach ustawowych lub w wydanych na ich podstawie przepisach aktów wykonawczych. Stąd też możność decydowania przez podmioty publiczne o celu i środkach przetwarzania danych osobowych jest stosunkowo niewielka [III]. Kontrowersje może wzbudzać także brak definicji niedookreślonego pojęcia „interesu publicznego”, którego szeroki zakres znaczeniowy z pewnością pomieści nieograniczoną liczbę stanów faktycznych.
Druga zmiana polega natomiast na tym, że podmioty ze sfery prawa publicznego, które działają w tym samym interesie publicznym, nie muszą już zawierać między sobą umów powierzenia przetwarzania danych osobowych, gdy przekazują dane osobowe innemu organowi. Proces przekazywania danych osobowych w sferze publicznej został więc odformalizowany (i zapewne zdecydowanie przyspieszony), ale jak słusznie zauważają pierwsi komentatorzy zmian, nie oznacza to, że administratorzy danych mogą przekazywać dane bez żadnej kontroli. Nadal ciąży na nich fundamentalny obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym [IV].
adw. Wioletta Gołębiewska
[I] Dz. U. z 2015 r. poz. 2135 i 2281.
[II] Por. art. 7 Konstytucji RP oraz art. 6 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, tekst jedn.: Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.
[III] J. Barta, R. Markiewicz, Ustawa o ochronie danych osobowych – komentarz, LEX 2011.
[IV] P. Litwiński „Dane osobowe rodzin dostępne niemal dla wszystkich”, Rzeczpospolita z dn. 16.02.2016 r.