W świetle tych zmian organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne uważa się za jednego administratora danych, jeżeli przetwarzanie przez nie danych osobowych służy temu samemu interesowi publicznemu (art. 23 ust. 2a OchrDanychU).
Przypomnijmy, że administratorem danych osobowych w rozumieniu OchrDanychU jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 OchrDanychU, która decyduje o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 OchrDanychU). Jednak w przypadku podmiotów publicznych wymienionych w art. 23 ust. 2a OchrDanychU można je traktować jako jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.
Już na tym etapie rozważań widać, że omawiana zmiana OchrDanychU wykracza poza sytuacje związane z wykonywaniem ustawy 500+ i może mieć istotny wpływ na bezpieczeństwo i możliwość przepływu danych osobowych, także pomiędzy podmiotami publicznymi nierealizującymi tej ustawy.
Wskazana regulacja art. 23 ust. 2a OchrDanychU jest niespójna z pozostałymi przepisami OchrDanychU, które dość jednolicie regulują status administratora danych i jego odpowiedzialności. Dotychczas ustawodawca dbał o to, by w każdym procesie przetwarzania danych można było wyodrębnić konkretnego, jednego administratora danych, na którym ciążą obowiązki wynikające z ustawy (art. 3 w zw. z art. 7 pkt 4 OchrDanychU). Nawet przy posłużeniu się dopuszczaną przez doktrynę konstrukcją współadministratorów danych, dość łatwo można było ustalić, który z nich, jakie atrybuty administratora danych realizuje, a co za tym idzie, za co odpowiada w procesie przetwarzania danych osobowych.
Na tym tle nowe przepisy budzić mogą poważne wątpliwości interpretacyjne1, które sprowadzają się do rozstrzygnięcia, czy po nowelizacji w sektorze publicznym mamy do czynienia z jednym, zbiorowym administratorem danych, jeżeli przetwarzanie danych przez kilka organów służy temu samemu interesowi publicznemu, czy też mamy do czynienia z wieloma organami, odrębnymi administratorami danych, które tylko w określonych sytuacjach, co do określonych danych stają się jednym administratorem danych.
Wydaje się, że należy opowiedzieć się za drugim z zaprezentowanych powyżej poglądów. W świetle nowej regulacji w sferze publicznej mamy co do zasady do czynienia w dalszym ciągu z różnymi organami i podmiotami będącymi odrębnymi administratorami danych. Oczywiście, mogą zdarzyć się sytuacje, w których różne organy i podmioty publiczne przetwarzają dane tych samych osób. Każdy z tych podmiotów, jeśli decyduje o celach i środkach przetwarzania danych, jest jednak wówczas ich autonomicznym i odrębnym administratorem. W związku z tym musi w stosunku do tych danych wykonywać wszystkie obowiązki administratora danych wymienione w OchrDanychU.
Sytuacja ulega zmianie, jeśli przetwarzanie danych przez kilka podmiotów publicznych, o których mowa w art. 3 ust. 1 OchrDanychU, będzie służyć w jakiejś konkretnej sytuacji temu samemu interesowi publicznemu. Organy i podmioty te stają się wówczas z mocy art. 23 ust. 2a OchrDanychU jednym administratorem danych. Oczywiście tym jednym administratorem danych, organy i podmioty, o których mowa w art. 3 ust. 1 OchrDanychU, stają się tylko co do tych danych, których przetwarzanie w konkretnym stanie faktycznym służy realizacji tego samego interesu publicznego. Co do pozostałych danych przetwarzanych w takich jednostkach (np. danych kadrowych) organy i podmioty te pozostają odrębnymi administratorami danych.
Należy zauważyć, że treść art. 23 ust. 2a OchrDanychU nie zwalnia żadnego z tych administratorów z obowiązku dbania, by przetwarzane przez niego dane, nawet w ramach konstrukcji jednego administratora danych, były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane oraz przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 1-4 OchrDanychU). Tym samym każdy z podmiotów uznany za tego jednego administratora danych, o którym mowa w art. 23 ust. 2a OchrDanychU, powinien w stosunku do przetwarzanych przez siebie danych realizować wszystkie obowiązki administratora danych określone w ustawie. Można zatem zaryzykować tezę, że w tym kontekście omawiana regulacja nie wnosi w praktyce niczego nowego do dotychczas obowiązującego stanu prawnego.
Sytuacja zmienia się dopiero wówczas, gdy spośród podmiotów objętych dyspozycją art. 23 ust. 2a OchrDanychU, jeden podmiot lub kilka podmiotów, w momencie rozpoczęcia realizacji z innymi podmiotami publicznymi tego samego interesu publicznego, nie przetwarza (nie posiada) wszystkich lub części danych osobowych. Innymi słowy, jakiś organ realizuje określony interes publiczny, tożsamy z interesem publicznym realizowanym przez inne organy i podmioty, o których mowa w art. 3 ust. 1 OchrDanychU, ale nie ma dostępu do wszystkich lub części danych osobowych, które ułatwiłyby mu realizację tego interesu. Organ ten będzie mógł się wówczas zwrócić o przekazanie mu tych danych przez inne organy, powołując się na konstrukcję jednego administratora danych osobowych, wyrażoną w art. 23 ust. 2a OchrDanychU.
W tym kontekście omawiana regulacja spowoduje, że organ występujący o dane nie będzie musiał powoływać się na odrębną podstawę prawną przetwarzania (pozyskania i dalszego wykorzystania) tych danych (art. 23 ust. 1 i art. 27 ust. 2 OchrDanychU) oraz - jak się wydaje - wykonywać względem osób, których dane dotyczą, obowiązku informacyjnego, o którym mowa w art. 25 OchrDanychU. To przekazanie danych będzie traktowane jako czynność na danych osobowych, wykonana w ramach działania tego samego administratora danych osobowych (wewnętrzna), a nie jako udostępnienie danych osobowych innemu podmiotowi.
W mojej ocenie pozyskanie danych w tym trybie nie zwalnia jednak pozyskującego administratora danych z konieczności wypełnienia innych obowiązków ciążących na nim w świetle przepisów OchrDanychU, w szczególności tych, które nie są realizowane jednorazowo, lecz w sposób ciągły, np. obowiązku właściwego zabezpieczenia danych oraz respektowania praw osób, których dane dotyczą.
Ciekawym zagadnieniem jest natomiast kwestia obowiązku rejestracji zbioru danych, pozyskanego przez administratora od innego podmiotu publicznego, z powołaniem się na art. 23 ust. 2a OchrDanychU. Wydaje się, że można znaleźć argumenty przemawiające zarówno za istnieniem obowiązku rejestracji zarówno pozyskanego zbioru, jak i za nieobejmowaniem go tym obowiązkiem. Najrozsądniej będzie zatem poczekać na interpretację tej kwestii przez Generalnego Inspektora Ochrony Danych Osobowych.
* Pola wymagane
Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.
Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł
Polityka prywatności