Czy instytucje samorządowe mogą się wymieniać danymi osobowymi

Czytelnik zwrócił się do nas z pytaniem, czy istnieje przepis prawa zezwalający na wymianę danych osobowych między instytucjami samorządu różnego szczebla, np. między powiatowym urzędem pracy (PUP) a ośrodkiem pomocy społecznej (OPS) czy powiatowym centrum pomocy rodzinie (PCPR)? Czy możliwe jest podpisanie porozumień o wymianie danych osobowych między takimi instytucjami?

Na tak postawione pytania należy odpowiedzieć warunkowo. Możliwość wymiany danych osobowych:

1) istnieje – pod warunkiem że zaistnieją przesłanki określone w art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o.),

2) nie istnieje, chyba że przewidują to przepisy wykonawcze.

Samorządowe porozumienia

W ustawach z 8 marca 1990 r. o samorządzie gminnym (dalej: u.s.g.) i z 5 czerwca 1998 r. o samorządzie powiatowym (dalej: u.s.p.) nie zostały przewidziane sytuacje dotyczące zawarcia porozumień czy umów dotyczących przekazywania danych osobowych. Ustawy dopuszczają jedynie zawieranie porozumień bądź umów w zakresie przekazywania zadań (art. 8 ust. 2 i 2a u.s.g. oraz art. 4 ust. 5 i art. 5 ust. 1 i 2 u.s.p.) lub wspólnego prowadzenia zadań przez związki międzygminne (rozdział VII u.s.g.) i związki powiatów (rozdział VII u.s.p.).

Ustawa o samorządzie gminnym wskazuje, że wykonywanie zadań publicznych może być realizowane w drodze współdziałania między jednostkami samorządu terytorialnego (JST; art. 10 ust. 1 u.s.g.), natomiast u.s.p. przewiduje w art. 7a, że powiaty, związki i stowarzyszenia powiatów mogą sobie wzajemnie bądź innym JST udzielać pomocy, w tym pomocy finansowej. Ani art. 18 u.s.g., ani art. 12 u.s.p. nie przewidują możliwości podejmowania przez rady gmin i powiatów uchwał w sprawach dotyczących przekazywania danych osobowych.

Zobacz również: Dane podopiecznych ośrodka pomocy społecznej

Ochrona danych osobowych

Zgodnie z zapisami u.o.d.o., każdy ma prawo do ochrony dotyczących go danych osobowych. Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tzn. takiej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Artykuł 7 pkt 2 u.o.d.o. definiuje przetwarzanie danych jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Punkt 4 tego artykułu określa, kto jest administratorem danych.

Jak wspomniano na wstępie, na mocy art. 23 ust. 1 u.o.d.o. przetwarzanie danych jest dopuszczalne, ale tylko wówczas, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w art. 23 ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

Zgodą osoby, której dane dotyczą, jest oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści i może być odwołana w każdym czasie.

Polecamy: Forum

Z orzecznictwa

Każda z przesłanek przetwarzania danych osobowych ustanowionych w art. 23 ust. 1 u.o.d.o. ma charakter autonomiczny i niezależny, a zatem przesłanki te co do zasady są równoprawne. Dlatego też spełnienie co najmniej jednej z nich stanowi zgodne z prawem przetwarzanie danych osobowych. Jednocześnie, zgoda osoby, której dane są przetwarzane, jest jednym z możliwych, ale nie jedynym warunkiem legalizującym proces przetwarzania danych osobowych.

Wyrok WSA w Warszawie z 18 października 2012 r.,

sygn. akt II SA/Wa 697/12

Zasadą wypracowaną przy stosowaniu u.o.d.o. stało się zgodnie z art. 23 ust. 1 pkt 1 tej ustawy przetwarzanie danych osobowych za zgodą osoby zainteresowanej, której dane te dotyczą. Nie oznacza to jednak, iż przesłanka uzyskania zgody na przetwarzanie danych osobowych ma pierwszeństwo stosowania przed innymi przesłankami dopuszczającymi przetwarzanie danych osobowych, według określonych ustawowo zawężonych kryteriów, bez zgody osoby zainteresowanej. Przesłanki zawarte w przepisie art. 23 ust. 1 pkt 1–5 u.o.d.o. są równorzędne, niezależne od siebie.

Wyrok WSA w Warszawie z 10 października 2012 r.,

sygn. akt II SA/Wa 1161/12

Przetwarzanie danych osobowych winno być niezbędne do wykonania zadań. Warunek „niezbędności” zachodzi wówczas, gdy rezygnacja z przetwarzania danych osobowych uniemożliwia lub w znacznym stopniu utrudnia wykonanie zadań. Niedopuszczalne jest więc przetwarzanie danych osobowych (tj. m.in. zbieranie lub udostępnianie) na zapas i w zakresie szerszym niż to jest usprawiedliwione celami realizowanymi przez administratora danych.

Wyrok NSA z 20 lutego 2013 r.,

sygn. akt I OSK 258/12

Spółdzielnia mieszkaniowa, jako zarządca domu, ma nie tylko prawo, lecz obowiązek przetwarzania danych osobowych wynajmującego mieszkanie w sytuacji, kiedy osoba wynajmująca mieszkanie zwróciła się o przyznanie jej dodatku mieszkaniowego.

Wyrok WSA w Warszawie z 7 lutego 2013 r.,

sygn. akt II SA/Wa 1986/12

Przepisy wykonawcze

Istnieją też przepisy wykonawcze, które określają sytuacje umożliwiające przetwarzanie danych osobowych bez zgody osoby, której one dotyczą. Należą do nich m.in. rozporządzenia dotyczące:

● udzielania zakładom ubezpieczeń przez podmioty prowadzące działalność leczniczą informacji o stanie zdrowia ubezpieczonych,

● zasad i sposobu przetwarzania oraz przekazywania danych osobowych zgromadzonych w zbiorach Krajowego Rejestru Karnego do celów statystycznych oraz badań naukowych,

● przetwarzania informacji przez policję.

Wydaje się jednak, że żaden z tych przypadków nie może być brany pod uwagę przy wymianie danych między jednostkami samorządowymi typu OPS, PUP czy PCPR.

Podstawy prawne

• art. 4 ust. 5, art. 5 ust. 1 i ust. 2, art. 7a ustawy z 5 czerwca 1998 r. o samorządzie powiatowym (j.t. Dz.U. z 2013 r. poz. 595; ost. zm. Dz.U. z 2014 r. poz. 379)
• art. 7 pkt 2 i pkt 4, art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz.U. z 2002 r. nr 101, poz. 926; ost. zm. Dz.U. z 2011 r. nr 230, poz. 1371)
• art. 8 ust. 2 i ust. 2a, art. 10 ust. 1 ustawy z 8 marca 1990 r. o samorządzie gminnym (j.t. Dz.U. z 2013 r. poz. 594; ost. zm. Dz.U. z 2014 r. poz. 379)

Polecamy serwis: Organizacja