W Dz.U. z 2019 r. pod poz. 730 opublikowano ustawę z 21.2.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).


1. Pomoc społeczna

W ustawie z 12.3.2004 r. o pomocy społecznej (t.j. Dz.U. z 2018 r. poz. 1508 ze zm.; dalej: PomSpołU) dodano ust. 7 do art. 25, zgodnie z którym podmioty uprawnione, którym zlecono realizację zadania z zakresu pomocy społecznej, a w przypadku wykonywania zleconego zadania poprzez jednostki organizacyjne pomocy społecznej – te jednostki, są administratorami danych osobowych przetwarzanych w celu udzielania świadczeń z pomocy społecznej przez te podmioty i jednostki.

Z art. 100 ust. 1 PomSpołU wynika, że w postępowaniu w sprawie świadczeń z pomocy społecznej należy kierować się przede wszystkim dobrem osób korzystających z pomocy społecznej i ochroną ich dóbr osobistych. W szczególności nie należy podawać do wiadomości publicznej nazwisk osób korzystających z pomocy społecznej oraz rodzaju i zakresu przyznanego świadczenia. Natomiast od 4.5.2019 r., podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w ustawie przetwarzają dane osobowe osób, do których stosuje się ustawę, oraz członków ich rodzin w zakresie i celu niezbędnych do realizacji zadań wynikających z PomSpołU (art. 100 ust. 2 PomSpołU).

Zgodnie z dodanymi do art. 100 PomSpołU przepisami ust. 3–7, zgodnie z którymi w związku z przetwarzaniem danych osobowych w celu udzielenia świadczeń, o których mowa w art. 106 ust. 2 PomSpołU (chodzi o świadczenia pieniężne z pomocy społecznej), oraz w celu świadczenia usług w ośrodkach wsparcia, rodzinnych domach pomocy, mieszkaniach chronionych i domach pomocy społecznej, wykonanie obowiązku informacyjnego, o którym mowa w art. 13 ust. 1 i 2 RODO następuje przez zamieszczenie informacji, o których mowa w tych przepisach, w widocznym miejscu w budynku, w którym udzielane są świadczenia lub świadczone usługi. Administrator danych informuje o ograniczeniach określonych w art. 13 ust. 1 i 2 RODO najpóźniej przy pierwszej czynności skierowanej do osoby, której dane dotyczą.

Ważne
Jednostki organizacyjne, o których mowa w art. 110 ust. 1, art. 111, art. 112 ust. 1, 2 i 8 oraz art. 113 ust. 1 i 3 PomSpołU (tj. m.in. OPS, OPS z ośrodkami wsparcia, powiatowe centrum pomocy społecznej, regionalne ośrodki pomocy społecznej), realizujące zadania w zakresie pomocy społecznej określone w PomSpołU są administratorami danych osobowych przetwarzanych w celu przyznawania i udzielania świadczeń z pomocy społecznej. Ponadto, podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w PomSpołU mają obowiązek zachować w tajemnicy wszelkie informacje i dane, które uzyskały przy wykonywaniu tych zadań.

Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:

  • dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
  • pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

Dodano też przepisy dotyczące przetwarzania danych osobowych podczas realizacji Programu Operacyjnego w ramach Europejskiego Programu Wsparcia Najbardziej Potrzebującym. Z nowego art. 134m PomSpołU wynika, że organizacje partnerskie oraz Krajowy Ośrodek Wsparcia Rolnictwa (KOWR) przetwarzają dane osobowe osób korzystających z pomocy określonej w Programie Operacyjnym obejmujące:

  • imię i nazwisko, liczbę osób wchodzących w skład gospodarstwa domowego, w tym w podziale na płeć, wiek i przynależność do grupy docelowej Programu Operacyjnego;
  • dochód osoby lub rodziny;
  • powody udzielenia pomocy na podstawie art. 7 PomSpołU.

Wypełnienie obowiązków informacyjnych określonych w przepisach o ochronie danych osobowych, w toku udzielania pomocy określonej w Programie Operacyjnym, następuje przez udostępnienie informacji o przetwarzaniu danych osobowych w przypadku:

  • organizacji partnerskich – w widocznym miejscu w budynku, w którym udzielana jest pomoc,
  • KOWR – w BIP na stronie podmiotowej KOWR lub na jego stronie internetowej.

Podobnie jak w przypadku jednostek organizacyjnych pomocy społecznej, tak i w tym przypadku zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wy-dane przez administratora danych, a także na pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy. Natomiast podmioty i osoby realizujące zadania określone w Programie Operacyjnym obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji zadań.


2. Zatrudnienie socjalne

W ustawie z 13.6.2003 r. o zatrudnieniu socjalnym (t.j. Dz.U. z 2019 r. poz. 217 ze zm.; dalej: ZatrSocjU) dodano art. 8b, który dotyczy przetwarzania danych przez centrum integracji społecznej (CIS). CIS przetwarza dane osobowe:

  1. uczestników obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym,
  2. członków rodziny lub przedstawiciela ustawowego uczestnika obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe
    – w zakresie niezbędnym do realizacji usług określonych w art. 3 ust. 1 ZatrSocjU, które obejmują:
    • kształcenie umiejętności pozwalających na pełnienie ról społecznych i osiąganie pozycji społecznych dostępnych osobom niepodlegającym wykluczeniu społecznemu;
    • nabywanie umiejętności zawodowych oraz przyuczenie do zawodu, przekwalifikowanie lub podwyższanie kwalifikacji zawodowych;
    • naukę planowania życia i zaspokajania potrzeb własnym staraniem, zwłaszcza przez możliwość osiągnięcia własnych dochodów przez zatrudnienie lub działalność gospodarczą;
    • uczenie umiejętności racjonalnego gospodarowania posiadanymi środkami pieniężnymi.

W związku z przetwarzaniem danych osobowych w celu realizacji usług przez CIS wykonanie obowiązku informacyjnego z art. 13 ust. 1 i 2 RODO następuje przez umieszczenie informacji, o których mowa w tych przepisach w widocznym miejscu w budynku, w którym realizowane są usługi. O ograniczeniu wynikającym tych przepisów administrator danych informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.

Ważne
Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wy-dane przez administratora danych, a także pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy. Dane osobowe przechowuje się przez okres 10 lat, licząc od końca roku kalendarzowego, w którym zakończono realizację usług na rzecz osób, których dane dotyczą. Natomiast CIS i osoby realizujące wymienione wyżej usługi obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji tych usług.

Podobne uregulowania zawiera dodany art. 18f ZatrSocjU, który dotyczy klubów integracji społecznej.