• Polski
  • English
  • Deutsch
  • Zapisz się do newslettera

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    500+ a ochrona danych osobowych

    administrator danych osobowych, giodo, ochrona danych osobowych, rejestracja zbioru

    1 kwietnia br. wchodzi w życie ustawa o pomocy państwa w wychowaniu dzieci. Jak wskazywaliśmy już na Portalu ODO ustawa ta wprowadza istotne dla sektora publicznego zmiany w ustawie o ochronie danych osobowych. Dotyczą one administratora danych oraz ujętej w art. 31 ustawy o ochronie danych osobowych instytucji powierzenia przetwarzania danych. W związku z szeregiem wątpliwości, jak interpretować nowe przepisy, Generalny Inspektor Ochrony Danych Osobowych wydał dwa stanowiska w tej sprawie.

    Ustawa regulująca zasady programu Rodzina 500+ wprowadziła m.in. nowy przepis art. 23 ust. 2a w ustawie o ochronie danych osobowych, który wskazuje, że podmioty publiczne (opisane w art. 3 ust. 1 ustawy o ochronie danych osobowych) uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu. Jak wskazuje GIODO, pomimo specyficznej konstrukcji przepisu, każdy z administratorów danych musi odpowiadać za realizację zadań z zakresu ochrony danych osobowych we własnym zakresie. Celem takiej interpretacji jest wyeliminowanie sytuacji, w których dochodziłoby do niewykonywania obowiązków wynikających z ustawy przez choćby jednego z administratorów. GIODO dokłada też starań, by zapewnić interpretację spójną z przepisami unijnymi.

    Zmiany obejmą także instytucję powierzenia. Zgodnie z nowym art. 31 ust. 2a ustawy o ochronie danych osobowych nie będzie konieczne zawieranie umów powierzenia, o ile powierzenie to będzie miało miejsce między organami państwowymi, organami samorządu terytorialnego oraz państwowymi i komunalnymi jednostkami organizacyjnymi. GIODO wskazuje na problemy, jakie mogą powstać w związku ze stosowaniem tego przepisu w praktyce oraz podkreśla, że brak określenia zasad, na jakich ma opierać się powierzenie, przesądza o braku wystarczającej podstawy do takiego działania. GIODO zaznacza, że bez umowy powierzenia trudno jest mówić o prawidłowym i dającym gwarancje bezpieczeństwa powierzeniu przetwarzania.

    Poza wyżej opisanymi problemami, przy okazji nowelizacji powstał również szereg pytań o rejestrację zbiorów danych w GIODO. W przypadku przetwarzania zbiorów danych zawierających dane wrażliwe (a tak jest w przypadku zbiorów, które będą przetwarzane w związku z realizacją programu Rodzina 500+), administrator danych może rozpocząć przetwarzanie po zgłoszeniu zbioru do GIODO i jego zarejestrowaniu przez organ nadzorczy. Choć ustawa o pomocy państwa w wychowaniu dzieci wprowadziła zmiany w ustawie o ochronie danych osobowych, nie odniosła się do kwestii zgłaszania zbiorów danych do GIODO i nie przewidziała w tym zakresie żadnego zwolnienia. Oznacza to, że zbiory, które będą przetwarzane w związku z przyjmowaniem i rozpatrywaniem wniosków o przyznanie świadczeń oraz ich wypłatą, muszą być zgłaszane do GIODO. Także do tej kwestii odniósł się GIODO w swoim komunikacie.

    GIODO wyjaśnił, że zbiory danych osobowych prowadzone w związku z realizacją programu 500+ zgłosić musi gmina, chyba, że korzysta ona z możliwości upoważnienia innego podmiotu do realizacji zadań związanych z prowadzeniem postępowań w ramach programu. Jeżeli gmina korzysta z tej możliwości, zbiór musi zostać zgłoszony odpowiednio przez ośrodek pomocy społecznej lub inną jednostkę organizacyjną gminy, czyli dany podmiot upoważniony.

    Z kolei zbiory danych przetwarzanych w celu realizacji świadczenia wychowawczego w związku z koordynacją systemów zabezpieczenia społecznego to zbiory, których zgłaszanie jest obowiązkiem województwa lub w razie skorzystania z odpowiednich upoważnień – regionalnego ośrodka pomocy społecznej.

    Warto przypomnieć, że nawet jeżeli w danej gminie (lub w strukturze innego administratora danych zobowiązanego do zgłoszenia zbioru) jest powołany ABI, w/w zbiory muszą być zgłaszane do GIODO, a nie rejestrowane w rejestrze administratora bezpieczeństwa informacji. Przesądza o tym okoliczność, że zbiory te zawierają dane wrażliwe. GIODO prosi, by w celu usprawnienia procesu rejestracji umieszczać w nazwie zbiorów utrzymywanych w związku z tym programem oznaczenie „500+”. Na dzień 29 marca 2016 roku w rejestrze GIODO zarejestrowanych jest 116 zbiorów, zawierających w swojej nazwie właśnie to oznaczenie.

    Wróć do listy
    Katarzyna Witkowska – Nowakowska

    Katarzyna Witkowska – Nowakowska

    • Prawnik
    Skontaktuj się z autorem

    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    Abi – przypominamy zmiany w ochronie danych osobowych sprzed roku.

    Już od ponad roku obowiązują zmienione przepisy ustawy o ochronie danych osobowych. 7 listopada 2014 roku przyjęto bowiem ustawę o ułatwieniu wykonywania działalności gospodarczej, która wprowadziła zmiany (więcej pisaliśmy o …

    Kontrole GIODO. Jaki jest plan na 2016 r. i na co zwrócić uwagę?

    Generalny Inspektor Ochrony Danych Osobowych opublikował w lutym br. komunikat o planowanych na rok 2016 kontrolach. Jak już wskazywaliśmy na Portalu ODO GIODO objął zakresem planowanych kontroli kilka grup podmiotów, …

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl