Jakie zmiany w ustawie o ochronie danych osobowych?

Co się zmieniło?

Dodano ustęp 2a do art. 23 (legalność przetwarzania danych):

Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

Polecamy produkt: Rodzina 500+ (PDF)

Komentarz GIODO:  (…) wprowadzenie w miejsce ugruntowanej w obowiązującym prawie konstrukcji administratora danych koncepcji „jednego administratora” w odniesieniu do podmiotów wskazanych w art. 3 ust. 1 ustawy o ochronie danych osobowych (zgodnie z którą podmioty te łącznie stanowią jednego administratora), spowoduje dla samych administratorów danych trudności w praktycznym stosowaniu przepisu. Powołana wyżej prounijna wykładnia przepisów o ochronie danych osobowych wyklucza bowiem tego rodzaju konstrukcję. Nowy model administrowania danymi przez podmioty publiczne w żadnym wypadku nie może wyłączyć odpowiedzialności któregokolwiek z administratorów, ani zwolnić go z wykonywania ustawowych obowiązków. Każdy administrator danych nadal będzie obowiązany do realizacji nałożonych na niego właściwymi przepisami zadań i żaden inny podmiot nie będzie mógł go w tym zakresie wyręczyć.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Dodano ustęp 2a do art. 31 (powierzenie danych):

Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.

Komentarz GIODO:  (…) Stojąc na straży właściwego, wysokiego, standardu ochrony danych osobowych w Rzeczypospolitej Polskiej, organ do spraw ochrony danych osobowych będzie interpretował, dodane przez art. 38 ustawy o pomocy państwa w wychowywaniu dzieci, przepisy art. 23 ust. 2a oraz art. 31 ust. 2a ustawy o ochronie danych osobowych uwzględniając całokształt zaprezentowanych wyżej rozważań. Jednocześnie mając na względzie niezgodność konstrukcji prawnej przewidzianej w art. 23 ust. 2a z obowiązującym prawem europejskim Generalny Inspektor Ochrony Danych Osobowych będzie dążył do zmiany tego aktu prawnego.

Pełna treść komunikatu GIODO w sprawie zmian w ustawie jest dostępna tutaj: http://giodo.gov.pl/560/id_art/9121/j/pl/

Podsumowując GIODO stwierdził, że rozumie intencję ustawodawcy, jednak nie zgadza się z wprowadzonymi zmianami i będzie egzekwować przepisy w dotychczasowym brzmieniu. Stanowisko GIODO jest bardzo istotne dla instytucji publicznych, które po zmianie w przepisach są właściwie zobowiązane do udostępnienia każdej innej instytucji publicznej przetwarzanych przez nią danych osobowych, jeżeli ta wskaże, że otrzymanie tych danych jest zgodne z interesem publicznym. Ponieważ ustawodawca nie wskazał, co rozumie przez interes publiczny, instytucja samodzielnie (subiektywnie) będzie musiała podjąć decyzję o udostępnieniu danych lub odmowie udostępnienia, wskazując że byłoby to lub nie w interesie publicznym. Dodatkowym argumentem przeciw udostępnieniu danych, nawet jeżeli druga instytucja powoła się na interes publiczny, jest negatywne stanowisko GIODO w odniesieniu do nowych przepisów.

Zobacz również: Świadczenie wychowawcze a dane osobowe