"Jak ustalić właściwy zakres danych przetwarzanych w interesie publicznym?

Przepisy o ochronie danych w wielu przypadkach zezwalają administratorowi na samodzielne i autorytarne ustalenie zakresu danych osobowych, które są mu niezbędne do zrealizowania celu przetwarzania. Ustalenie tego zakresu powinno być realizowane w oparciu o zasady minimalizacji oraz celowości określone w art. 5  RODO (…) W praktyce okazuje się to bardzo trudne, szczególnie gdy potrzeby i cele administratora okazują się nie do końca skonkretyzowane i chciałby on pozyskać dane „na wszelki wypadek, bo w przyszłości mogą być potrzebne”. Jest to argument, z którym spotykam się wielokrotnie w codziennej pracy, a który w dłuższej perspektywie prowadzi do wielu problemów z pozyskanymi, nadmiarowymi danymi, w szczególności w kwestii ograniczenia czasu ich przechowywania. Często administrator nie chce lub boi się je usunąć, gdyż nie jest pewien, czy może to zrobić lub uważa, że mogą kiedyś być potrzebne. Zdarza się także, że po dłuższym czasie nikt już nie pamięta, w jakim celu dane zostały zebrane. Rozsądny administrator zleca wtedy usunięcie/zniszczenie danych, ale zdarzają się także tacy, którzy w takich okolicznościach boją się podjąć taką decyzję i przechowują nadmiarowe dane latami, mimo że nie są im do niczego potrzebne.

Szkodliwe wzory pobrane z Internetu

Powszechną praktyką jest korzystanie z gotowych wzorów pobranych z Internetu. Bardzo często taki wzór funkcjonuje w organizacji latami, nawet jeżeli w międzyczasie zmieniły się przepisy i jego treść jest już do nich nieadekwatna. Zdarza się także, że taki wzór od początku jest niepoprawny i korzystanie z niego naraża administratora na naruszenie przepisów o ochronie danych osobowych.

(…) Często spotykam się także z darmowymi wzorami zgody na przetwarzanie danych osobowych, gdzie łączone są różne cele przetwarzania danych (np. zgoda na przetwarzanie danych w celu udziału w konkursie oraz zgoda na marketing elektroniczny) lub uzależnia się wykonanie usługi od zgody (np. udział w płatnym webinarze jest uzależniony od zgody na marketing elektroniczny organizatora). Ponieważ bardzo często jest tak, że takie wzory są powielane i szeroko rozpowszechniane, zaczynają funkcjonować u bardzo wielu administratorów, jako obowiązujące, narażając ich na działanie niezgodne z RODO, a w pewnych okolicznościach także na kary pieniężne przewidziane w tym przepisie. (…)

Nadmiarowe dane w związku ze sprawozdawczością

Bardzo często spotykam się też z sytuacją, że podmiot publiczny zostaje poproszony w ramach obowiązkowej sprawozdawczości o informacje, których nie posiada. Dla przykładu do końca marca podmioty publiczne są zobligowane do złożenia raportu z zapewniania dostępności zgodnie z wymaganiami ustawy z 19.07.2019 r. o zapewnianiu dostępności osobom ze szczególnymi potrzebami, w którego treści pojawiły się pytania dotyczące udzielania dostępu alternatywnego osobom ze szczególnymi potrzebami. Z przepisów prawa nie wynika obowiązek odnotowywania informacji o takim działaniu, tym bardziej w zakresie terminu i sposobu jego zrealizowania. Pojawia się zatem pytanie, czy w przypadku nieposiadania wymaganych informacji można pominąć pytanie, czy należy zacząć gromadzić dodatkowe dane, na potrzeby takiej sprawozdawczości. Podobnych przykładów jest bardzo wiele i w praktyce często jest tak, że w związku z pojawieniem się takiego pytania podmiot publiczny zaczyna gromadzić dodatkowe informacje, aby być w stanie udzielić na nie odpowiedzi w przyszłym raporcie. Jednak pojawia się wątpliwość w zakresie przesłanki legalizującej przetwarzanie takich danych. Prezes Urzędu Ochrony Danych Osobowych (dalej Prezes UODO) na początku marca opublikował na swojej stronie internetowej opinię odnoszącą się do kwestii gromadzenia nadmiarowych danych na potrzeby statystki publicznej, w związku z raportami składanymi do GUS, gdzie często pojawiają się pytania o informacje, które nie są w posiadaniu podmiotu zobowiązanego. W swojej opinii Prezes UODO stwierdził, że „zgodnie z art. 13 ust. 1 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej organy administracji publicznej, Zakład Ubezpieczeń Społecznych, Narodowy Fundusz Zdrowia, Komisja Nadzoru Finansowego, a także inne państwowe lub samorządowe osoby prawne, organy rejestrowe oraz inne podmioty prowadzące rejestry urzędowe lub niepubliczne systemy informacyjne, przekazują lub udostępniają nieodpłatnie służbom statystyki publicznej zgromadzone dane w szczegółowym zakresie, postaci i terminach, określonych w programie badań statystycznych statystyki publicznej, w szczególności w postaci zbiorów danych z systemów teleinformatycznych, w tym wyników pomiarów, danych monitoringu środowiska, a w przypadku braku systemu teleinformatycznego – w innej utrwalonej postaci. W związku z powyższym przepisem tylko dane już zgromadzone na podstawie obowiązujących przepisów prawa w zakresach i celach wynikających z tych przepisów ww. podmioty mają obowiązek przekazać na rzecz GUS. Tym samym przepis ten nie uprawnia ani nie zobowiązuje wskazanych podmiotów do pozyskiwania innych danych na rzecz GUS, a następnie ich dalszego przetwarzania (przechowywania) (https://uodo.gov.pl/pl/225/1940, dostęp 10.03.2021 r.). Jest to o tyle istotne, że gromadząc nadmiarowe dane, podmiot zobowiązany mógłby powołać się jedynie na przepisy o statystyce publicznej, co nie powinno stanowić podstawy do przetwarzania danych osobowych.

Dane na potrzeby kontroli w ramach ustawy o finansach publicznych

Kolejnym, wydaje się, że coraz bardziej palącym problemem jest dookreślenie uprawnień związanych z przetwarzaniem danych osobowych przez gminy na potrzeby kontroli zarządczej realizowanej w oparciu przepisy ustawy z 27.08.2009 r. o finansach publicznych. Organ gminy odpowiada za prawidłową realizację budżetu gminy, w tym prawidłową gospodarkę finansową gminy, a także zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej w jednostkach organizacyjnych gminy. W szczególności może to realizować poprzez nadzór nad sposobem realizacji przyznanego budżetu przez poszczególne jednostki gminy. Bardzo często przedmiotem zainteresowania są wynagrodzenia pracowników, gdzie w ramach kontroli jednostki organizacyjne otrzymują żądanie przekazania do gminy szczegółowego zestawienia wynagrodzeń poszczególnych pracowników. Czasami żądanie dotyczy jedynie wysokości wynagrodzenia, a czasami wszystkich jego składników, łącznie z nagrodami, ekwiwalentami czy świadczeniami z zakładowego funduszu świadczeń socjalnych.

W przepisach prawa brak jest szczegółowej podstawy prawnej udostępniania danych osobowych na potrzeby przeprowadzanej kontroli, zatem zakres danych powinien być określony zgodnie z zasadami minimalizacji oraz celowości z art. 5 RODO. Moim zdaniem żądanie szczegółowego zestawienia wynagrodzeń pracowników nie jest niezbędne do osiągnięcia celu przetwarzania, jakim jest kontrola realizacji budżetu. A badanie sposobu naliczania wynagrodzeń nie powinno być przedmiotem kontroli zarządczej (taka kontrola leżałaby w kompetencji PIP lub ZUS). Podobnie jak w przypadku głosowania budżetu obywatelskiego, podmioty publiczne, realizując kontrolę zarządczą, powinny stosować zasadę adekwatności danych do celu przetwarzania. Pozyskiwanie nadmiarowych dane to ryzyko naruszenia praw i wolności tych osób. Tym bardziej, że w przypadku podania szczegółowych informacji dotyczących poszczególnych składników wynagrodzeń dojdzie w zasadzie do udostępnienia całego zbioru wynagrodzeń pracowników, co zostało wskazane jako nieprawidłowa praktyka w motywie 31 RODO. Dla prawidłowego zrealizowania tego zadania wystarczające byłoby podanie wysokości wydatków na wynagrodzenia ogółem, widełek wynagrodzeń na poszczególnych stanowiskach, jeśli to możliwe także średniego wynagrodzenia dla danego stanowiska. Obawiam się, że jeżeli w ramach kontroli zarządczych pomiędzy podmiotami będą udostępnione całe zbiory danych, to później staną się dostępne dla bardzo wielu osób, a przy braku należytej staranności mogą zostać także udostępnione w załącznikach protokołów z kontroli lub w ramach informacji publicznej.

Z pewnością w wielu przypadkach brak sprecyzowanych przepisów, szczególnie odnoszących się do zakresu danych przetwarzanych w interesie publicznym lub w ramach sprawowania władzy publicznej może prowadzić do naruszeń przepisów RODO. Orzeczenie NSA jest pierwszym sygnałem, że należy dokonać weryfikacji dotychczasowych procesów przetwarzania i obiektywnie ocenić, na ile każda z pozyskiwanych informacji jest faktycznie niezbędna do osiągnięcia wyznaczonego celu przetwarzania. Gromadzenie nadmiarowych danych może bowiem prowadzić do intensyfikacji naruszeń ich ochrony i skutkować ograniczeniem praw i wolności osób, których dotyczy. (…)"

S. Czub-Kiełczewska, Jak ustalić właściwy zakres danych przetwarzanych w interesie publicznym?, LEX/el. 2021. https://sip.lex.pl/#/publication/470146714?pit=2021-03-22 (dostęp: 2021-03-23 11:20)