Prezes Urzędu Ochrony Danych Osobowych kwestionuje jedno z rozwiązań przewidzianych w projekcie rozporządzenia Ministra Cyfryzacji w sprawie aplikacji mobilnej służącej do rozliczania opłaty za przewóz osób. Obawy UODO wynikają stąd, że projektowana regulacja nie określa ani kręgu uprawnionych podmiotów, które będą miały dostęp do tych danych, ani zakresu tych danych.
Za szeroki dostęp do danych
- Daje to nieokreślonej kategorii podmiotów (w tym służbom i inspekcjom) uprawnienie do dostępu do bardzo szczegółowych informacji o osobie korzystającej z usługi przewozowej – wskazuje Prezes UODO w piśmie do Ministra Cyfryzacji. Zwraca też uwagę, że przepis ten nie określa celów, jakim taka kontrola miała by służyć. A to stwarza ryzyko przeprowadzania w dowolnym momencie kontroli operacyjnych, które nigdzie nie zostaną odnotowane.
Czytaj: Aplikacje mobilne mogą zagrażać prywatności dzieci i młodzieży>>
Niekonstytucyjne rozwiązanie
W ocenie Prezesa Urzędu taka regulacja może naruszać m.in. art. 51 ust. 1 i 2 Konstytucji Rzeczypospolitej Polskiej, zgodnie z którym nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby oraz stanowiącym, że władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
Prezes UODO w piśmie do Ministra Cyfryzacji zwraca też uwagę na inne propozycje przepisów, które są nieprecyzyjne. - Projektowane rozporządzenie nie określa jakie dane mają być gromadzone przez aplikację mobilną do rozliczeń przewozów. Nie wiadomo również przy wykorzystaniu jakich danych będzie się odbywać identyfikacja klienta w aplikacji - czytamy w wystąpieniu.
Zdaniem Prezesa UODO tak skonstruowane propozycje przepisów naruszają zasadę przejrzystości określoną w art. 5 ust. 1 lit. a RODO, czyli ogólnego rozporządzenia o ochronie danych. Zgodnie z nią dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
W swoim piśmie Prezes Urzędu zwraca też uwagę, że wprowadzenie rozwiązań silnie ingerujących w prywatność, powinno być poprzedzone oceną skutków dla ochrony danych. W tym przypadku projektodawca tego nie zrobił.