Jak zauważa autor, po analizie przepisów można zaobserwować swoiste ułatwienie, dla administracji państwowej dotyczące spełnienia obowiązku wynikającego z art. 34 RODO, polegającego na zawiadomieniu osoby, której dane dotyczą.
Ustawy istotne dla instytucji państwa.
1) Ustawa o postępowaniu egzekucyjnym w administracji.
Prezes Urzędu Ochrony Danych Osobowych przejmie prawa i obowiązki Generalnego Inspektora Danych Osobowych w postępowaniu egzekucyjnym, jest to oczywiście całkowicie zrozumiała propozycja zmiany, gdyż Prezes UODO przejmie nie tylko te prawa i obowiązki GIODO.
Budzić wątpliwości może natomiast zapis dodany w art. 34 § 4 ustawy. Wyłącza on całkowicie stosowanie art. 12 – 22 RODO w zakresie ochrony informacji oraz wyjaśnień uzyskanych na żądanie organu egzekucyjnego lub wierzyciela od uczestników postępowania, dzięki którym możliwe będzie osiągnięcie celu egzekucji w postaci realizacji dochodzonego w postępowaniu obowiązku.
Powyższe wyłączenie dotyczy praktycznie całego rozdziału III RODO. W efekcie prowadzi to do pozbawienia osób wszelkich praw dotyczących ochrony danych osobowych w związku z prowadzeniem postępowania egzekucyjnego przez organ administracji.
Czytaj: RODO w 10 krokach - poradnik dla przedsiębiorców>>
2) Ustawa o narodowym zasobie archiwalnym i archiwach.
Zmiany w niniejszej ustawie dotyczą głównie kwestii związanych z ustaleniem katalogów danych jakie mogą być przetwarzane przez Naczelnego Dyrektora Archiwów Państwowych.
W sprawach dotyczących osób starających się o zezwolenie na czasowy wywóz za granicę materiałów archiwalnych katalog jaki może przetwarzać Naczelny Dyrektor Archiwów Państwowych prezentuje się następująco:
1) imię i nazwisko,
2) adres zamieszkania lub adres do korespondencji,
3) numer telefonu i adres elektroniczny, w tym adres poczty elektronicznej,
4) inne informacje identyfikujące osoby fizyczne, zawarte w materiałach archiwalnych będących przedmiotem postępowań.
W sprawach dotyczących głównie: nadzoru dotyczącego operacji nad danymi archiwalnymi, działalnością naukową i wydawniczą oraz spraw związanych z ewidencjonowaniem danych Naczelny Dyrektor Archiwów Państwowych przetwarzać będzie mógł następujące dane osobowe:
1) imię i nazwisko lub pseudonim;
2) adres zamieszkania lub adres do korespondencji;
3) numer telefonu i adres elektroniczny, w tym adres poczty elektronicznej;
4) miejsce pracy i zajmowane stanowisko lub pełniona funkcja;
5) wizerunek;
6) informacje identyfikujące osoby fizyczne, zawarte w materiałach archiwalnych albo dokumentacji niearchiwalnej, będących przedmiotem tych działań.
Obowiązek podania informacji wynikający z art. 12 RODO został ograniczony do bezpłatnego skorzystania przez osobę, której dane dotyczą raz na 12 miesięcy przez archiwa państwowe oraz raz na 6 miesięcy przez inne jednostki należące do państwowej sieci archiwalnej. W pozostałych przypadkach administrator danych ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.
Podobnie jak w ustawie Karta Nauczyciela ustawodawca zaproponował zwolnienie administratora danych od obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO), w chwili gdy zamieści on w terminie 72h od stwierdzenia naruszenia komunikat o naruszeniu na swojej stronie w Biuletynu Informacji Publicznej (dalej BIP) lub na własnej stronie internetowej.
Dane osobowe udostępnianie w ramach działalności archiwalnej wymagają uprzedniego poddania ich psudonimizacji. Wymóg ten nie będzie musiał zostać spełniony, jeżeli udostępnia się dane osobowe za zgodą osoby, której dane dotyczą, jej pełnomocnika lub przedstawiciela ustawowego.
Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>
3) Ustawa o drogach publicznych.
Ustawodawca w celu poboru opłaty za korzystanie z drogi publicznej proponuje aby zarząd drogi lub zarządca drogi mógł przetwarzać dane dotyczące pojazdów oraz użytkowników dróg publicznych. Dane będą zbierane w związku z funkcjonowaniem systemu poboru opłaty elektronicznej. Dane mają być przechowywane nie dłużej niż 12 miesięcy od dnia ich uzyskania, chyba że dłuższe przechowywanie jest niezbędne w celu prowadzenia postępowania administracyjnego, sądowego lub egzekucyjnego albo dla zapewnienia prawidłowego wnoszenia opłat elektronicznych przez użytkowników dróg oraz ich rozliczania. Generalny Dyrektor Dróg Krajowych i Autostrad ma dokonywać weryfikacji tych danych, nie rzadziej niż co 3 miesiące od dnia ich uzyskania, usuwając dane zbędne.
Co więcej Generalny Dyrektor Dróg Krajowych i Autostrad ma być zwolniony z obowiązku informacyjnego wybijającego z przepisów RODO. Może on też udostępnić, na podstawie pisemnego wniosku gromadzone przez niego dane osobowe:
1) Policji,
2) Inspekcji Transportu Drogowego,
3) Żandarmerii Wojskowej,
4) Straży Granicznej,
5) Agencji Bezpieczeństwa Wewnętrznego,
6) Agencji Wywiadu,
7) Centralnemu Biuru Antykorupcyjnemu,
8) Służbie Kontrwywiadu Wojskowego,
9) Służbie Wywiadu Wojskowego,
10) prokuratorowi,
11) sądom,
12) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego
4) Ustawa o Rzeczniku Praw Obywatelskich i Rzeczniku Praw Dziecka.
W propozycji nowelizacji został wprowadzony zapis zezwalający Rzecznikowi Praw Obywatelskich na przetwarzanie wszelkich informacji, w tym danych osobowych, również tzw. danych wrażliwych w celu realizacji swoich ustawowych zadań. Identyczne rozwiązanie zostało zaproponowane w ustawie o Rzeczniku Praw Dziecka w ramach wykonywania przez niego obowiązków.
Cele działania obu powyższych podmiotów są zbieżne i maja zapewnić przestrzeganie praw obywateli niezależnie od ich wieku, wiec proponowane rozwiązanie nie budzi żadnych wątpliwości.
5) Ustawa o systemie oświaty,
Do ustawy ma zostać dodany zapis wskazujący jakie dane w zakresie zadań ustawowych przetwarza Minister właściwy do spraw kultury i ochrony dziedzictwa narodowego lub specjalistyczna jednostka nadzoru. W szczególności mają to być dane takie jak:
1) imię i nazwisko;
2) data i miejsce urodzenia;
3) imiona rodziców;
4) adres zamieszkania lub do korespondencji;
5) wykształcenie, miejsce pracy i zajmowane stanowisko, w tym wysokość wynagrodzenia;
6) numer NIP lub numer PESEL, w przypadku jego braku – rodzaj, seria i numer dokumentu potwierdzającego tożsamość;
7) numer telefonu i adres poczty elektronicznej;
8) numer rachunku bankowego.
W związku z przetwarzaniem powyższych danych mają zostać ograniczone prawa do informacji dla osoby, której dane dotyczą. Maja być one realizowane bezpłatnie raz na sześć miesięcy. W pozostałych przypadkach administrator danych ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.
Ustawodawca ogranicza też „prawo do bycia zapomnianym” dla osób których dane statystyczne dotyczą. Ponownie występuje tu też zwolnienie administratora z obowiązku poinformowania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, w chwili gdy zamieści on w terminie 72h od stwierdzenia naruszenia komunikat o naruszeniu na swojej stronie w BIP lub na własnej stronie internetowej.
6) Ustawa o statystyce publicznej,
Wiele zmian ma zostać wprowadzonych w ustawie o statystyce publicznej. Nie jest to jednak zaskoczenie, ustawa ta jest starsza niż ustawa o ochronie danych osobowych, i zdaniem niektórych w dużej mierze ukształtowała ona świadomość dotyczącą konieczności ochrony danych osobowych wśród obywateli.
Zmiany dotknęły definicji „danych statystycznych”, której zakres został poszerzony o informacje zawarte w niepublicznych systemach informacyjnych. Za takie systemu można uznać systemy służące do zbierania, gromadzenia i przetwarzania informacji prowadzone przez podmioty inne niż organy i podmioty prowadzące systemy informacyjne administracji publicznej, w szczególności podmioty wykonujące działalność w zakresie:
a) sprzedaży lub dostawy energii elektrycznej,
b) zbiorowego odprowadzania ścieków i zbiorowego zaopatrzenia w wodę,
c) przesyłu, dystrybucji i obrotu paliwami gazowymi,
d) obrotu, przesyłu i wytwarzania energii cieplnej,
e) telekomunikacji,
f) ubezpieczeń,
g) transportu i leasingu,
h) zarządzania portami lotniczymi,
i) zarządzania i administrowania nieruchomościami.
Operat do badań statystycznych, nie ma dotyczyć już tylko danych jednostkowych wraz z ich identyfikacją adresową, ma ona być zastąpiona identyfikacja teladresową. Poszerzono również katalog danych, które zbierane mogą być od osób fizycznych tylko na zasadzie obowiązku w badaniach statystycznych o dane biometryczne i światopoglądowe. Służby statystyki publicznej, dla celów statystycznych, dodatkowo będą mogły przetwarzać, poza danymi zawartymi w przepisach przed propozycją zmiany, dane min. dotyczące:
a) kraju urodzenia i miejsca urodzenia,
b) biometrii,
c) genetyki,
d) seksualności lub orientacji seksualnej,
e) pozostawiania w konkubinacie,
f) dochodów, w tym wynagrodzenia
Dane osobowe po ich zebraniu przez służby statystyki publicznej, jeżeli nie wymaga tego cel ich przetwarzania, są pseudonimizowane. Sposób i tryb pseudonimizacji danych osobowych ma zostać określony, w drodze zarządzenia, Prezes Głównego Urzędu Statystycznego.
Nowa ustawa wprost ma również zezwalać służbie statystycznej na przechowywanie, łączenie i wtórne wykorzystywanie zebranych danych (w tym danych osobowych) do celów określonych ustawowo. Dane mają być też zbierane za pomocą zautomatyzowanych narzędzi elektronicznych lub informatycznych. W art. 6 ust. 5 dodano konieczność poinformowania osoby fizycznej o podstawie prawnej zbierania od niej danych osobowych, gwarancjach zachowania tajemnicy statystycznej oraz zawarcia informacji dotyczącego czy badanie jest dobrowolne czy obowiązkowe. Badania statystyczne dotyczące osób fizycznych prowadzących działalność gospodarczą mają zaś odbywać się zawsze na zasadzie obowiązku.
Administratorem danych zbieranych w trakcie czynności ustawowych przez służbę statystyki publicznej ma być Prezes Głównego Urzędu Statystyki Publicznej. Dane osobowe od momentu ich zebrania mają stawać się danymi statystycznymi, co za tym idzie mają być one objęte tajemnicą statystyczną
Obowiązek wynikający z art. 34 RODO, czyli zawiadomienie osoby, której dane dotyczą, o naruszeniach danych osobowych, ma zostać spełniony poprzez zamieszczenie, przez służbę statystyki, informacji na ten temat w Biuletynie Informacji Publicznej urzędu.
Do ustawy ma zostać również dodany rozdział 2b stanowiący o organizacji spisu powszechnego oraz rozdział 5a „Operat do badań statystycznych”.
7) Ustawa ordynacja podatkowa,
Ustawodawca określił, że administratorem danych osobowych płatników , inkasentów, ich następców prawnych oraz osób trzecich korzystających portalu podatkowego jest Minister właściwy do spraw finansów publicznych. Ustawodawca planuje też wyłączyć w stosunku danych osobowych objętych tajemnicą podatkową przepisy RODO stanowiące o prawach osób których dane dotyczą (art. 12-22 i art. 34 RODO).
8) Ustawa o Instytucie Pamięci Narodowej
Ustawodawca proponuję zmianę brzmienia art. 57f ust 1, co musi stanowić oczywistą omyłkę i prawdopodobnie, po analizie brzmienia przepisów ustawy, chodzi o zmianę art. 53f ust. 1, gdyż on stanowi o utworzeniu Bazy Materiału Genetycznego, której administratorem jest Prezes Instytutu Pamięci Narodowej. W przeciwnym przypadku prowadziłoby to do zachowaniu Bazy, której prawne usytuowanie oparte byłoby na przepisach Ustawy o ochronie danych osobowych, nie zaś przepisach RODO.
Główną zmianą wynikającą z przepisów jest ograniczenie praw osób, których dane dotyczą a są one przetwarzane w celach archiwalnych. Nie stosuje się wiec w powyższym przypadku prawa sprzeciwu, prawa do sprostowania dniach, prawa do bycia zapomnianym oraz ograniczenia przetwarzani wynikających z przepisów RODO. Biorąc pod uwagę charakter prac Instytutu Pamięci Narodowej, powyższe wykluczenia wydają się uzasadnione.
9) Ustawa o Krajowym Rejestrze Karnym,
Główną zmianą dotyczącą przepisów stanowiących o Krajowym Rejestrze Karnym jest wyłączenie stosowania przepisów RODO, dotyczących prawa do ograniczenia przetwarzania, obowiązku poinformowania osoby o sprostowaniu lub usunięciu jej danych z rejestru oraz prawa sprzeciwu do przetwarzania danych osobowych. Co jest rozwiązaniem jak najbardziej słusznym biorąc pod uwagę charakter danych osobowych oraz cel w jakim został stworzony powyższy rejestr. Nadanie osobą, których dane się w nim znalazły powyższych uprawnień doprowadziłby do absurdu i niemożliwości prowadzenia rejestru osób karanych.
Administratorem danych osobowych zawartych w Krajowym Rejestrze Karnym ma zostać Minister Sprawiedliwości.
10) Ustawa o ustroju sądów powszechnych,
Ustawodawca w propozycji nowelizacji enumeratywnie wskazał odpowiednich administratorów danych osobowych przetwarzanych dane w szeroko rozumianym sadownictwie powszechnym. W związku z powyższym:
a) Administratorem danych osobowych biegłych sądowych, mediatorów, ławników mają zostać prezesi sądów okręgowych oraz Minister Sprawiedliwości w zakresie realizowanych zadań. Do przetwarzania danych osobowych nie stosuje się przepisów art. 13-15 ust. 1 i 3, 18, 19 i 21 RODO.
b) Administratorami sądowych systemów informatycznych mają zostać sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesi właściwych sądów oraz Minister Sprawiedliwości.
Poza określeniem administratorów danych, ustawodawca zaproponował też jakie jednostki mają sprawowac nadzór nad przetwarzaniem danych osobowych przez odpowiednie sądy. W myśl powyższej zmiany nadzór:
a) nad sądem rejonowym sprawować ma prezes sądu okręgowego,
b) nad sądem okręgowym sprawować ma prezes sądu apelacyjnego,
c) w zakresie działalności sądu apelacyjnego sprawować ma Krajowa Rada Sądownictwa.
Administratorami danych osobowych przetwarzanych w ramach postepowań sądowych mają zostać sądy.
11) Ustawa o ustroju sądów administracyjnych,
Bardzo podobne zmiany jak w przypadku ustawy o ustroju sądów powszechnych ustawodawca zaproponował w stosunku do ustawy dotyczące ustroju sądów administracyjnych. W związku z powyższym sądy administracyjne mają zostać administratorami danych osobowych przetwarzanych w postępowaniach sądowych. Przepisy dotyczące określenia administratorów danych osobowych biegłych sądowych, mediatorów, ławników oraz danych osobowych znajdujących się w teleinformatycznych systemach sądowych ma stosować się analogicznie do rozwiązań zaproponowanych w sądownictwie powszechnym.
Nadzór nad przetwarzaniem danych osobowych przez wojewódzkie sądy administracyjne w postępowaniach sądowych ma sprawować Prezes Naczelnego Sądu Administracyjnego zaś nadzór nad przetwarzaniem danych osobowych przez Naczelny Sąd Administracyjny w postępowaniach sądowych ma sprawować Krajowa Rada Sądownictwa.
12) Ustawa o Sądzie Najwyższym,
Sąd Najwyższy ma zostać administratorem danych osobowych w ramach realizacji swoich zadań. Nadzór nad przetwarzaniem danych osobowych przez Sąd Najwyższy ma zaś wykonywać wykonuje Krajowa Rada Sądownictwa.
Podsumowanie
Przepisy RODO w dużej mierze zmusiły Ustawodawcę do wyraźnego wskazania kto jest administratorem danych osobowych w wielu instytucjach państwowych, co jest rozwiązaniem z punktu widzenia obywatela korzystnym, gdyż dzięki zaproponowanym zmianą będzie wiedział jaki organ decyduje o celach decyduje o celach i środkach przetwarzania jego danych osobowych.
Po analizie przepisów można zaobserwować również swoiste ułatwienie, dla administracji państwowej dotyczące spełnienia obowiązku wynikającego z art. 34 RODO, polegającego na zawiadomieniu osoby, której dane dotyczą. Poinformowanie poszkodowanego może odbyć się za pośrednictwem strony internetowej urzędu lub na jego stronie BIP.
Autor: Adam Lipiński, specjalista ds. ochrony danych ODO 24