„500+” – czyli zmiany w ustawie o ochronie danych osobowych…

photo_2030_20061012Zmiany w ustawie o ochronie danych osobowych przy okazji tzw. „ustawy 500+”

O sprawie przypomniano przy okazji tzw. „ustawy 500 +”. Punktem wyjścia były przepisy zmieniające ustawie o ochronie danych osobowych zawarte w ustawie o pomocy państwa w wychowywaniu dzieci. Zgodnie z jej treścią:

Art. 38. W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 i 2281) wprowadza się następujące zmiany:

1)            w art. 23 po ust. 2 dodaje się ust. 2a w brzmieniu: „2a. Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.”;

2)            w art. 31 po ust. 2 dodaje się ust. 2a w brzmieniu: „2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.”.

Konsekwencją takiej regulacji mogą być problemy z określeniem obowiązków administratora danych – w myśl zasady „wszystkich znaczy niczyje”, ale również swobodny by nie powiedzieć dowolny obrót danymi pomiędzy organami administracji publicznej.

W tym miejscu należy przypomnieć o wyroku Europejskiego Trybunału Praw Człowieka z dnia 1 października 2015 roku w sprawie Smaranda Bary. W uzasadnieniu wyroku wskazano m.in.:

„Zgodnie z przepisami rozdziału II dyrektywy 95/46, zatytułowanego „Ogólne zasady legalności przetwarzania danych osobowych”, z zastrzeżeniem dozwolonych na mocy jej art. 13 odstępstw, każda operacja przetwarzania danych osobowych musi być zgodna z jednej strony z wyrażonymi w art. 6 tej dyrektywy zasadami odnoszącymi się do charakteru danych, a z drugiej strony – z jednym z kryteriów legalności przetwarzania danych, wymienionych w art. 7 tej dyrektywy (wyroki: Österreichischer Rundfunk i in., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 65; Huber, C‑524/06, EU:C:2008:724, pkt 48, a także ASNEF i FECEMD, C‑468/10 i C‑469/10, EU:C:2011:777, pkt 26).

Ponadto administrator danych lub jego przedstawiciel ma obowiązek informacji, którego zasady, określone w art. 10 i 11 dyrektywy 95/46 różnią się w zależności od tego, czy owe dane zostały uzyskane od osoby, której dotyczą, bądź nie, z zastrzeżeniem wyjątków dopuszczanych na mocy art. 13 tej dyrektywy.

Po pierwsze, jeżeli chodzi o art. 10 rzeczonej dyrektywy, to przepis ten przewiduje, że administrator danych miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, informacji wymienionych w lit. a)–c) tego artykułu, z wyjątkiem przypadku, kiedy osoba ta informacje takie już posiada. Informacje te dotyczą tożsamości administratora danych, celów przetwarzania danych oraz wszelkich dalszych informacji potrzebnych w celu zagwarantowania rzetelnego przetwarzania danych. Wśród dodatkowych informacji potrzebnych w celu zapewnienia rzetelnego przetwarzania danych, art. 10 lit. c) omawianej dyrektywy wymienia wprost „odbiorców lub kategorie odbierających dane” oraz „istnienie prawa wglądu do […] danych [odnoszących się do osoby, której one dotyczą] oraz ich sprostowania”.

Jak zaznaczył rzecznik generalny w pkt 74 swej opinii, ów wymóg informowania osób, których dotyczy przetwarzanie ich danych osobowych, jest tym ważniejszy, iż stanowi warunek konieczny wykonywania przez te osoby ich prawa dostępu do przetwarzanych danych i sprostowania ich, przewidzianego w art. 12 dyrektywy 95/46, oraz ich prawa sprzeciwu wobec przetwarzania tych danych, o którym mowa w art. 14 tej dyrektywy.

Z powyższego wynika, że wymóg rzetelnego przetwarzania danych osobowych przewidziany w art. 6 dyrektywy 95/46 zobowiązuje organ administracji publicznej do informowania osób, których dane dotyczą, o ich przekazaniu innemu organowi administracji publicznej w celu ich przetworzenia przez ów drugi organ będący odbiorcą rzeczonych danych.”

Z poważaniem,
Tomasz Cygan.

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

sixteen − 1 =