Konsekwencje dla administratora danych, będącego organem państwowym, organem samorządu terytorialnego lub państwową albo komunalną jednostką organizacyjną, wraz z wejściem w życie tzw. ustawy 500+

Administrator danych osobowych

W świetle tych zmian organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne uważa się za jednego administratora danych, jeżeli przetwarzanie przez nie danych osobowych służy temu samemu interesowi publicznemu (art. 23 ust. 2a OchrDanychU).

Przypomnijmy, że administratorem danych osobowych w rozumieniu OchrDanychU jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 OchrDanychU, która decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 OchrDanychU). Jednak w przypadku podmiotów publicznych wymienionych w art. 23 ust. 2a OchrDanychU można je traktować jako jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

Już na tym etapie rozważań widać, że omawiana zmiana OchrDanychU wykracza poza sytuacje związane z wykonywaniem ustawy 500+ i może mieć istotny wpływ na bezpieczeństwo i możliwość przepływu danych osobowych, także pomiędzy podmiotami publicznymi nierealizującymi tej ustawy.

Wskazana regulacja art. 23 ust. 2a OchrDanychU jest niespójna z pozostałymi przepisami OchrDanychU, które dość jednolicie regulują status administratora danych i jego odpowiedzialności. Dotychczas ustawodawca dbał o to, by w każdym procesie przetwarzania danych można było wyodrębnić konkretnego, jednego administratora danych, na którym ciążą obowiązki wynikające z ustawy (art. 3 w zw. z art. 7 pkt 4 OchrDanychU). Nawet przy posłużeniu się dopuszczaną przez doktrynę konstrukcją współadministratorów danych, dość łatwo można było ustalić, który z nich, jakie atrybuty administratora danych realizuje, a co za tym idzie, za co odpowiada w procesie przetwarzania danych osobowych.

Na tym tle nowe przepisy budzić mogą poważne wątpliwości interpretacyjne1, które sprowadzają się do rozstrzygnięcia, czy po nowelizacji w sektorze publicznym mamy do czynienia z jednym, zbiorowym administratorem danych, jeżeli przetwarzanie danych przez kilka organów służy temu samemu interesowi publicznemu, czy też mamy do czynienia z wieloma organami, odrębnymi administratorami danych, które tylko w określonych sytuacjach, co do określonych danych stają się jednym administratorem danych.

Wydaje się, że należy opowiedzieć się za drugim z zaprezentowanych powyżej poglądów. W świetle nowej regulacji w sferze publicznej mamy co do zasady do czynienia w dalszym ciągu z różnymi organami i podmiotami będącymi odrębnymi administratorami danych. Oczywiście, mogą zdarzyć się sytuacje, w których różne organy i podmioty publiczne przetwarzają dane tych samych osób. Każdy z tych podmiotów, jeśli decyduje o celach i środkach przetwarzania danych, jest jednak wówczas ich autonomicznym i odrębnym administratorem. W związku z tym musi w stosunku do tych danych wykonywać wszystkie obowiązki administratora danych wymienione w OchrDanychU.

Sytuacja ulega zmianie, jeśli przetwarzanie danych przez kilka podmiotów publicznych, o których mowa w art. 3 ust. 1 OchrDanychU, będzie służyć w jakiejś konkretnej sytuacji temu samemu interesowi publicznemu. Organy i podmioty te stają się wówczas z mocy art. 23 ust. 2a OchrDanychU jednym administratorem danych. Oczywiście tym jednym administratorem danych, organy i podmioty, o których mowa w art. 3 ust. 1 OchrDanychU, stają się tylko co do tych danych, których przetwarzanie w konkretnym stanie faktycznym służy realizacji tego samego interesu publicznego. Co do pozostałych danych przetwarzanych w takich jednostkach (np. danych kadrowych) organy i podmioty te pozostają odrębnymi administratorami danych.

Należy zauważyć, że treść art. 23 ust. 2a OchrDanychU nie zwalnia żadnego z tych administratorów z obowiązku dbania, by przetwarzane przez niego dane, nawet w ramach konstrukcji jednego administratora danych, były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane oraz przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 1-4 OchrDanychU). Tym samym każdy z podmiotów uznany za tego jednego administratora danych, o którym mowa w art. 23 ust. 2a OchrDanychU, powinien w stosunku do przetwarzanych przez siebie danych realizować wszystkie obowiązki administratora danych określone w ustawie. Można zatem zaryzykować tezę, że w tym kontekście omawiana regulacja nie wnosi w praktyce niczego nowego do dotychczas obowiązującego stanu prawnego.

Sytuacja zmienia się dopiero wówczas, gdy spośród podmiotów objętych dyspozycją art. 23 ust. 2a OchrDanychU, jeden podmiot lub kilka podmiotów, w momencie rozpoczęcia realizacji z innymi podmiotami publicznymi tego samego interesu publicznego, nie przetwarza (nie posiada) wszystkich lub części danych osobowych. Innymi słowy, jakiś organ realizuje określony interes publiczny, tożsamy z interesem publicznym realizowanym przez inne organy i podmioty, o których mowa w art. 3 ust. 1 OchrDanychU, ale nie ma dostępu do wszystkich lub części danych osobowych, które ułatwiłyby mu realizację tego interesu. Organ ten będzie mógł się wówczas zwrócić o przekazanie mu tych danych przez inne organy, powołując się na konstrukcję jednego administratora danych osobowych, wyrażoną w art. 23 ust. 2a OchrDanychU.

W tym kontekście omawiana regulacja spowoduje, że organ występujący o dane nie będzie musiał powoływać się na odrębną podstawę prawną przetwarzania (pozyskania i dalszego wykorzystania) tych danych (art. 23 ust. 1 i art. 27 ust. 2 OchrDanychU) oraz – jak się wydaje – wykonywać względem osób, których dane dotyczą, obowiązku informacyjnego, o którym mowa w art. 25 OchrDanychU. To przekazanie danych będzie traktowane jako czynność na danych osobowych, wykonana w ramach działania tego samego administratora danych osobowych (wewnętrzna), a nie jako udostępnienie danych osobowych innemu podmiotowi.

W mojej ocenie pozyskanie danych w tym trybie nie zwalnia jednak pozyskującego administratora danych z konieczności wypełnienia innych obowiązków ciążących na nim w świetle przepisów OchrDanychU, w szczególności tych, które nie są realizowane jednorazowo, lecz w sposób ciągły, np. obowiązku właściwego zabezpieczenia danych oraz respektowania praw osób, których dane dotyczą.

Obowiązek rejestracji zbioru danych

Ciekawym zagadnieniem jest natomiast kwestia obowiązku rejestracji zbioru danych, pozyskanego przez administratora od innego podmiotu publicznego, z powołaniem się na art. 23 ust. 2a OchrDanychU. Wydaje się, że można znaleźć argumenty przemawiające zarówno za istnieniem obowiązku rejestracji zarówno pozyskanego zbioru, jak i za nieobejmowaniem go tym obowiązkiem. Najrozsądniej będzie zatem poczekać na interpretację tej kwestii przez Generalnego Inspektora Ochrony Danych Osobowych.