Wymiana danych między warszawskim ratuszem, ZTM i Ministerstwem Finansów dokonywana na potrzeby wydawania Kart Warszawiaka, jest bezprawna. To jedno z głównych ustaleń kontroli prowadzonej przez inspektorów GIODO w Zarządzie Transportu Miejskiego w Warszawie (ZTM), Urzędzie Miasta Stołecznego Warszawy i Ministerstwie Finansów.
Jej wyniki dr Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przedstawił i skomentował podczas konferencji prasowej 21 lutego 2014 r.
Kontrola GIODO wykazała że miasto, choć nie ma do tego podstawy prawnej, zbiera dane dotyczące miejsca rozliczania podatku PIT, a resort finansów udziela tej informacji ratuszowi, choć w przepisach prawa również nie ma do tego podstaw. Nie można za nią bowiem uznać ani uchwały rady miasta, ani tzw. umowy powierzenia przetwarzania danych zawartej między stołecznym Urzędem Miasta a resortem finansów.
Kontrola GIODO wykazała, że obie instytucje zawarły taką umowę w celu weryfikacji uprawnień osób ubiegających się o Kartę Warszawiaka. Na tej podstawie ZTM przekazał do Ministerstwa Finansów plik z danymi posiadaczy spersonalizowanej Warszawskiej Karty Miejskiej w wieku od 18 do 70 lat, a resort, korzystając z informacji zawartych w Krajowej Ewidencji Podatników, uzupełnił je o informacje, czy dana osoba posiada adres miejsca zamieszkania na terenie m.st. Warszawy poprzez wskazanie „tak” lub „nie” ewentualnie zaznaczając, że zmarła. W opinii GIODO tej operacji wymiany danych nie można nazwać powierzeniem ich przetwarzania. Powierzenie przetwarzania danych polega bowiem na tym, że jakaś instytucja powierza firmie zewnętrznej przetwarzanie danych osobowych zawartych w swoim zbiorze, ale w zakresie i celu, do którego sama jest uprawniona. Przez takie działanie realizowany może być jedynie cel administratora danych, nie zaś cel podmiotu, któremu dane się powierza. W przypadku danych przekazywanych w związku z potwierdzaniem uprawnień na potrzeby Karty Warszawiaka faktycznie dochodziło do przekazania danych. – To, co zrobiło miasto, było właściwie przekazaniem komuś innemu, dla innych celów, swojej bazy – mówił dr Wiewiórowski. Przyznał, że podobnie postąpiło Ministerstwo Finansów.
GIODO wskazywał, że przepisy ustawy o zasadach ewidencji i identyfikacji podatników i płatników stanowią, w jakim celu prowadzony jest Centralny Rejestr Podmiotów – Krajowa Ewidencja Podatników, jakie podmioty mają do niego dostęp oraz jakim podmiotom dane z tego rejestru mogą być udostępniane. Dokładnie wyjaśniał, dlaczego nie mogą być one uznane za prawidłową podstawę uprawniającą Ministerstwo Finansów do przekazania danych z Krajowej Ewidencji Podatników jednostce samorządu terytorialnego na inne potrzeby niż prowadzenie postępowania podatkowego.
– W żadnym z wymienionych w ustawie celu nie mieści się dokonywanie weryfikacji danych na zlecenie innych podmiotów – tłumaczył Wojciech Wiewiórowski. Wskazywał, że nie jest wykluczone, że doszło również do naruszenia tajemnicy skarbowej.
Kontrola GIODO wykazała też, że poważnego naruszenia prawa dopuścił się też ZTM w Warszawie, który 21 listopada 2013 r., jeszcze przed zawarciem umowy między Urzędem Miasta a resortem finansów, przekazał do ministerstwa ową bazę danych posiadaczy spersonalizowanych kart miejskich w wieku od 18 do 70 lat. Zrobiono to również, zanim prezydent Warszawy formalnie upoważniła ZTM do weryfikowania uprawnień osób ubiegających się o Kartę Warszawiaka. Dotyczyło to wszystkich zarejestrowanych klientów ZTM, a nie tylko tych zainteresowanych Kartami. Trudno więc mówić, że podstawą udostępnienia danych była zgoda osób, którą GIODO podał w wątpliwość jako przesłankę legalizującą przetwarzanie danych osobowych na potrzeby Karty Warszawiaka.
GIODO poinformował, że w związku ze stwierdzonymi naruszeniami rozpocznie niebawem postępowania administracyjne wobec ratusza, ZTM i Ministerstwa Finansów. Będą one miały na celu przywrócenie stanu zgodnego z prawem. – Zadaniem, które ma obecnie Generalny Inspektor Ochrony Danych Osobowych, jest doprowadzenie sytuacji do zgodności z prawem. Oczywiście może to nastąpić przez najdalej idącą decyzję, jaką jest zakaz przetwarzania danych, aczkolwiek to nie oznacza wcale, i chciałem to bardzo wyraźnie podkreślić, wstrzymania działań dotyczących Karty Warszawiaka – zadeklarował dr Wojciech Wiewiórowski.
GIODO rozważa również ewentualne powiadomienie odpowiednich organów, np. RPO, o swoich wątpliwościach dotyczących tego, czy w ogóle może istnieć karta skierowana tylko do mieszkańców danego miasta i czy nie prowadzi to do niezgodnego z prawem europejskim ograniczania swobodnego przepływu osób.
GIODO: prawo naruszone, ale nie zablokuję Karty Warszawiaka
Generalny Inspektor Ochrony Danych Osobowych nie zatrzyma wydawania Kart Warszawiaka, choć kontrola potwierdziła naruszenie przepisów dotyczących ochrony danych osobowych. Taką deklarację dr Wojciech Wiewiórowski złożył podczas piątkowej konferencji prasowe.