Dnia 1 kwietnia 2016 r. wchodzi w życie ustawa o pomocy państwa w wychowywaniu dzieci, która w art. 38 pkt 1 wprowadza istotne zmiany w przepisach ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135, z późn. zm.) dotyczące administratora danych oraz instytucji powierzenia przetwarzania danych.
„Art. 38. W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 i 2281) wprowadza się następujące zmiany:
1) w art. 23 po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.”;
2) w art. 31 po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.”.
Biorąc pod uwagę potencjalne trudności oraz wątpliwości interpretacyjne, z jakimi może się wiązać stosowanie powyższych rozwiązań w praktyce przez administratorów danych, administratorów bezpieczeństwa informacji, podmioty, którym powierzono przetwarzanie danych oraz inne podmioty stosujące w swojej działalności przepisy ustawy o ochronie danych osobowych, zasadne jest zwrócenie uwagi na następujące kwestie.
1. Art. 23 ust. 2a ustawy o ochronie danych osobowych nie może być traktowany w oderwaniu od przepisów szczególnych.
Art. 7 Konstytucji Rzeczypospolitej Polskiej stanowi wyraźnie, iż organy władzy publicznej działają na podstawie i w granicach prawa. Zatem to z przepisów o charakterze szczególnym, w tym właściwych przepisów kompetencyjnych, powinny wynikać zakres i sposób wykonywania zadań przez administratorów danych. Również na podstawie takich przepisów oceniać należy zakres odpowiedzialności oraz dopuszczalnego przetwarzania danych przez poszczególnych administratorów danych i podmioty przetwarzające dane. Przyjęta w art. 38 pkt 1 ustawy o pomocy państwa w wychowywaniu dzieci nowelizacja ustawy o ochronie danych osobowych nie może zmieniać powyższego stanu rzeczy. Każdy z administratorów nadal będzie odpowiadał za realizację zadań we własnym, wyznaczonym właściwymi przepisami, zakresie, nie zaś wraz z innymi podmiotami. Nie może być mowy zatem również o odpowiedzialności solidarnej, gdyż na gruncie prawa administracyjnego nie jest znana konstrukcja odpowiedzialności solidarnej (którą sformułowanie nowego art. 23 ust. 2a ustawy o ochronie danych osobowych mogłoby sugerować).
2. Wykładnia przepisów krajowych musi być dokonywana w zgodzie z Dyrektywą 95/46/WE.
Przepisy ustawy o ochronie danych osobowych stanowią implementację dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.), i to w jej duchu powinna być dokonywana interpretacja norm prawa krajowego. Jak potwierdza orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej, w przypadku niewłaściwej transpozycji dyrektywy możliwe jest bezpośrednie powoływanie się na jej przepisy przez jednostki występujące przed sądami. Generalny Inspektor Ochrony Danych Osobowych w opiniach dotyczących ustawy o pomocy państwa w wychowywaniu dzieci wielokrotnie podkreślał, że wprowadzana przez nią zmiana przepisów ustawy o ochronie danych osobowych stoi w sprzeczności z obowiązującym prawem unijnym, co skutkować może zarzutem błędnej implementacji dyrektywy. Tym samym, w opinii organu do spraw ochrony danych osobowych, zachodzi potrzeba dokonywania takiej wykładni brzmienia art. 23 ust. 2a ustawy o ochronie danych osobowych, by – w miarę możliwości – zapewnić jego zgodność z prawem europejskim. Taka prounijna wykładnia prawa jest nie tylko zalecana, ale wręcz nakazana, w związku z członkostwem Rzeczypospolitej Polskiej w Unii Europejskiej.
3. Pojęcie administratora danych według opinii Grupy Roboczej Art. 29.
Wypracowany na postawie przepisów prawa Unii Europejskiej system ochrony danych osobowych opiera się na konstrukcji administratora danych, czyli najważniejszego podmiotu w procesie przetwarzania danych, decydującego o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy o ochronie danych osobowych). Ten administrator danych, zarówno ze względu na ciążące na nim rozliczne obowiązki wynikające z przepisów o ochronie danych osobowych, jak i posiadane przez niego uprawnienia w procesie przetwarzania danych, musi być jednoznacznie zidentyfikowany. Na kwestię tę zwróciła uwagę Grupa Robocza Art. 29, która w Opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjętej w dniu 16 lutego 2010 r., wskazała, iż zamieszczona
w art. 2 lit. d dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych
definicja administratora danych kładzie nacisk m.in. na aspekt o charakterze personalnym, tzn. administratorem danych może być: osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ.
***
Wobec powyższego wprowadzenie w miejsce ugruntowanej w obowiązującym prawie konstrukcji administratora danych koncepcji „jednego administratora” w odniesieniu do podmiotów wskazanych w art. 3 ust. 1 ustawy o ochronie danych osobowych (zgodnie z którą podmioty te łącznie stanowią jednego administratora), spowoduje dla samych administratorów danych trudności w praktycznym stosowaniu przepisu. Powołana wyżej prounijna wykładnia przepisów o ochronie danych osobowych wyklucza bowiem tego rodzaju konstrukcję. Nowy model administrowania danymi przez podmioty publiczne w żadnym wypadku nie może wyłączyć odpowiedzialności któregokolwiek z administratorów, ani zwolnić go z wykonywania ustawowych obowiązków. Każdy administrator danych nadal będzie obowiązany do realizacji nałożonych na niego właściwymi przepisami zadań i żaden inny podmiot nie będzie mógł go w tym zakresie wyręczyć.
4. Zmiany w zakresie powierzenia przetwarzania danych osobowych.
Ustawa o pomocy państwa w wychowywaniu dzieci w art. 38 pkt 2 wprowadza również zmianę przepisów ustawy o ochronie danych osobowych, polegającą na rezygnacji z wymogu zawarcia umowy powierzenia przetwarzania danych, jeżeli powierzenie ma miejsce między podmiotami, o których mowa w art. 3 ust. 1 ustawy o ochronie danych osobowych, tj. organami państwowymi, organami samorządu terytorialnego oraz państwowymi i komunalnymi jednostkami organizacyjnymi (nowy art. 31 ust. 2a ustawy o ochronie danych osobowych).
Instytucja powierzenia przetwarzania danych osobowych na podstawie przepisów prawa jest co do zasady dopuszczalna przez prawo europejskie. Zgodnie z art. 17 ust. 3 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych.
Jednak przyjęcie dopuszczalności powierzenia ustawowego w obecnym kształcie nie rozwiązuje problemów, jakie mogą powstać w praktyce. Tego rodzaju ogólna regulacja, bez jednoczesnego stworzenia w tym zakresie odpowiednich gwarancji, w szczególności jasnego określenia zasad, na jakich to powierzenie ma mieć miejsce, jest bowiem niewystarczającą podstawą do powierzenia przetwarzania danych innemu podmiotowi. W przeciwnym razie, powierzenie odbywać się musi na zasadach ogólnych, tj. na podstawie umowy, o której mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych (powierzenie umowne).
Ustanowienie nowego rodzaju podmiotu przetwarzającego dane nie powinno się wiązać z obniżeniem poziomu ochrony tych danych i niespełnieniem szeregu warunków określanych do tej pory w umowach. Aby powierzenie ustawowe było dopuszczalne, właściwe przepisy powinny szczegółowo określać jego warunki oraz granice, w jakich może poruszać się podmiot przetwarzający dane. Jednocześnie nadal będzie on obowiązany do przestrzegania zasad wynikających z przepisów ustawy o ochronie danych osobowych, w tym dotyczących właściwego zabezpieczenia danych.
***
Dlatego, stojąc na straży właściwego, wysokiego, standardu ochrony danych osobowych w Rzeczypospolitej Polskiej, organ do spraw ochrony danych osobowych będzie interpretował, dodane przez art. 38 ustawy o pomocy państwa w wychowywaniu dzieci, przepisy art. 23 ust. 2a oraz art. 31 ust. 2a ustawy o ochronie danych osobowych uwzględniając całokształt zaprezentowanych wyżej rozważań. Jednocześnie mając na względzie niezgodność konstrukcji prawnej przewidzianej w art. 23 ust. 2a z obowiązującym prawem europejskim Generalny Inspektor Ochrony Danych Osobowych będzie dążył do zmiany tego aktu prawnego.