Ustawa 500+ po cichu wprowadza niepokojące zmiany w ochronie danych obywateli
Wczoraj GIODO opublikował pismo skierowane do Zastępcy Szefa Kancelarii Sejmu, w którym zasygnalizował zaniepokojenie próbą wprowadzenia istotnych zmian w ustawie o ochronie danych osobowych poprzez, tzw. ustawę 500+. O co chodzi?
Bez konsultacji społecznych oraz z Generalnym Inspektorem Ochrony Danych Osobowych wprowadzono do projektu ustawy art. 38 pkt 1, który ma umożliwić wszystkim organom publicznym wymianę danych o obywatelach bez ograniczeń narzucanych przez ochronę danych osobowych. Jak to możliwe? Zaproponowano wprowadzenie nowego tworu zbiorowego administratora danych, który działałby na zasadach ustawowego administratora danych.
GIODO napisał:
Wprowadzanie zmian o charakterze systemowym, które w zasadniczy sposób modyfikują podstawowe zasady przetwarzania danych osobowych, do tego w trybie uniemożliwiającym jakąkolwiek realną dyskusję, jest przez Generalnego Inspektora Ochrony Danych Osobowych nie do przyjęcia. Zaproponowane przez projektodawcę nowe przepisy ustawy o ochronie danych osobowych w praktyce oznaczałyby całkowitą przebudowę modelu przetwarzania danych osobowych przez podmioty publiczne. Spowodowałoby to chaos i uniemożliwiło realizację ustawowych zadań zarówno przez administratorów danych, jak i przez organ do spraw ochrony danych osobowych.
Do tej pory administrator danych musiał być jednoznacznie określony, ciążyły na nim określone obowiązki i odpowiedzialność. W jaki sposób egzekwować kary albo kontrolować „zbiorowego administratora danych”, na którego będzie się składało wiele instytucji?
Co ciekawe tak istotne zmiany w zakresie ochrony danych osobowych zostały wprowadzone „za plecami” organu, który odpowiada za ochronę danych w Polsce:
(…) uprzejmie informuję, że – w pierwszej kolejności – zasadnicze wątpliwości
organu do spraw ochrony danych osobowych budzi – zawarta w art. 38 projektu –
propozycja zmiany ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych
(Dz. U. z 2015 r. poz. 2135, z późn. zm.), która nie była konsultowana z Generalnym Inspektorem Ochrony Danych Osobowych. Z analizy dokumentów dostępnych na stronie internetowej Rządowego Centrum Legislacji (w zakładce Rządowy Proces Legislacyjny) wynika, iż zmiana ta wprowadzona została do projektu podczas obrad Stałego Komitetu Rady Ministrów, co uniemożliwiło organowi do spraw ochrony danych osobowych wyrażenie opinii w tym zakresie.
Taki sposób procedowania projektu jest nie do zaakceptowania przez Generalnego Inspektora Ochrony Danych Osobowych tym bardziej, że projektowane regulacje zmieniające ustawę o ochronie danych osobowych odnosić się będą do praw podstawowych jednostek, a ostateczny kształt przepisów w sposób bezpośredni dotyczył będzie podstawowych zasad ochrony danych osobowych. Co więcej – wprowadzenie zmian do przepisów ustawy o ochronie danych osobowych, czyli aktu prawnego o charakterze ogólnym, niejako „przy okazji” procedowania regulacji dotyczącej świadczenia wychowawczego uznać należy za niebezpieczny precedens, który nie powinien mieć miejsca.
W ustawie cały czas funkcjonują zapisy, do których zastrzeżenia były zgłaszane już wcześniej, nie tylko przez GIODO:
- Sposób kontroli przez organy państwowe tego, czy środki przyznane z programu nie są „marnotrawione”.
- Samo użyte w ustawie określenie „marnotrawione” nie jest zdefiniowane i daje szeroki zakres interpretacji.
- Przepisy wskazują, że organ odpowiedzialny za przekazywanie środków z programu może upoważnić inny organ do realizacji swoich zadań, nie jest jednakże jasno określone, jakie to mogą być organy. Jest to istotne z punktu widzenia bezpieczeństwa oraz odpowiedzialności za dane.
- Ustawa nie określa precyzyjnie jaki zakres danych będzie zawierał wniosek o dofinansowanie, co może dawać w kolejnych latach możliwość rozszerzenia zakresu danych, o takie które niekoniecznie są potrzebne do realizacji programu, ale mogą być istotne z punktu widzenia interesu „zbiorowego administratora danych”.
- GIODO wyraził zastrzeżenia do pomysłu stworzenia centralnego rejestru danych osób pobierających świadczenia oraz ich rodzin, w sytuacji gdy te dane są przetwarzane na poziomie lokalnym (gminnym). Nie widzi zasadności w takim działaniu.
- Wątpliwości budzi nieprecyzyjny zapis udostępniania danych z centralnego rejestru innym podmiotom.
- Zastrzeżenia budzi nieuzasadniony okres przechowywania danych osobowych osób, które otrzymały świadczenia – 10 lat na poziomie systemu centralnego. Nie ma jednocześnie informacji ile wynosiłby ten okres na poziomie lokalnym (gminnym).
- Art. 24 ust. 1 jest nieprecyzyjny i stwarza możliwość do nadużyć w zakresie przetwarzania danych.
- Weryfikacja faktu samotnego wychowywania dziecka w formie pełnego wywiadu środowiskowego stanowić mogłaby nadmierną, nieproporcjonalną ingerencję w prywatność jednostek.
- Art. 23 ust. 4a ustawy o świadczeniach rodzinnych – obejmuje m.in. stan zdrowia, niepełnosprawność, karalność, wysokość dochodu, itp. . Zachodzi wątpliwość, czy tak szeroki katalog danych jest rzeczywiście niezbędny (a tym samym zgodny z – powołanymi wyżej – art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych oraz art. 51 ust. 2 Konstytucji Rzeczypospolitej Polskiej) z punktu widzenia celu, jakim jest ustalenie, czy osoba ubiegająca się o świadczenie rodzinne rzeczywiście samotnie wychowuje dziecko.
Pełny tekst pisma Generalnego Inspektora Ochrony Danych Osobowych
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!