Ustawa z 11 lutego 2016 roku o pomocy państwa w wychowywaniu dzieci wprowadzająca program „Rodzina 500+” wymusiła zmiany niektórych innych aktów prawnych, w tym ustawy o ochronie danych osobowych.
I tak 1 kwietnia 2016 roku pojawił się zapis, iż następujące podmioty: organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu (art. 23 ust 2a ). W artykule 31 ust. 2a ustawodawca zniósł instytucję umowy powierzenia przetwarzania danych osobowych jeśli przetwarzanie ma miejsce pomiędzy wyżej wymienionymi podmiotami.
O ile pierwsze wrażenie po przeczytaniu noweli ustawy wydaje się nie nasuwać problemów interpretacyjnych, to głębsza analiza jeży włos na głowie.
Powtórzmy to: nie zawieramy umowy powierzenia jeśli umowa miałaby być zawarta pomiędzy podmiotami z art. 3 ust. 1 ustawy o ochronie danych osobowych. Wszystko dobrze gdy pojawia się zależność pomiędzy organami samorządu terytorialnego, ale co jeśli mamy starostę i dyrektora szkoły mu podległej ? Organ samorządu terytorialnego i jednostka organizacyjna mu podległa. Czy jednostka organizacyjna, którą precyzyjniej można określić jednostką budżetową jest także komunalną jednostką organizacyjną? I tu zaczyna się swoboda dedukcyjna. Jedni twierdzą, że nie widzą problemu by ustawowej definicji zawężać i powinno się traktować: domy dziecka, domy pomocy społecznej, szkoły, etc. jako jednostki komunalne, ale są też tacy, którzy wskazują natychmiatowe skojarzenie: jednostki komunalne to jednostki gminne i miejskie: energetyka cieplna, administracja lokalami, cmentarze etc.
Skoro ustawodawca wprowadził zmiany w ustawie o ochronie danych osobowych dostosowując przepisy do programu „Rodzina 500+„, to może powinniśmy szukać rozwiązania w przepisach wprowadzających program „Rodzina 500+” ? Artykuł 10 wskazuje jako organ właściwy w sprawie świadczenia wychowawczego: wójta, burmistrza lub prezydenta miasta, który następnie może w formie pisemnej, upoważnić swojego zastępcę, pracownika urzędu albo kierownika ośrodka pomocy społecznej lub innej jednostki organizacyjnej gminy, a także inną osobę na wniosek kierownika ośrodka pomocy społecznej lub innej jednostki organizacyjnej gminy do prowadzenia postępowań …. Możemy więc założyć, iż art. 3 ust 1 ustawy o ochronie danych osobowych powinno się interpretować szerzej, rozumiejąc komunalne jednostki organizacyjne jako wszelkie jednostki organizacyjne.
Zwolnienie z umów powierzenia nie obowiązuje, gdy podmiotem przetwarzającym jest firma, np. bank zaangażowany w rejestrację beneficjentów 500+.
Wydaje się, że art. 3 ustawy o ochronie danych osobowych powinien być doprecyzowany, gdyż literalnie dyskryminuje pozostałe jednostki organizacyjne. Oczywiście możemy przyjąć retorykę „500+„, ale na ten moment nie ma jednoznacznej wykładni.
Następny problem to pojęcie interesu publicznego. Dopóki nie pojawi się jednoznaczna interpretacja to Administrator Danych będzie musiał udowodnić, że przetwarzanie danych służy temu samemu interesowi publicznemu.
J. Boć tłumaczy, iż interes publiczny to interes całego społeczeństwa. Czy w takim razie replikowanie baz danych elektronicznego obiegu dokumentów pomiędzy starostwem a urzędem marszałkowskim będzie wyczerpywało tą przesłankę? Ani to całe społeczeństwo tylko obszar województwa, ani interes ogółu – urzędnikom jest łatwiej zarządzać dokumentami.
Najprostsza definicja interesu publicznego zdaje się sprowadzać do realizacji obowiązków wynikających z przepisów prawa – tak, jak w przypadku programu „Rodzina 500+„. Cel publiczny określony jest w ustawie, już tytuł go wskazuje „pomoc państwa w wychowaniu dzieci„.
Reasumując, dopóki nie pojawi się jednoznaczna definicja interesu publicznego i jednoznaczny katalog instytucji wchodzących w skład komunalnych jednostek organizacyjnych, warto zawierać umowy powierzenia dla bezpieczeństwa interesów administratorów danych i przetwarzanych przez nich zbiorów.
Dodaj komentarz