Tak wynika z niedawnego wyroku Trybunału Sprawiedliwości Unii Europejskiej. Nasze prawo traktuje tę kwestię odmiennie. Być może trzeba będzie zmienić zasady.
Osoby, których dane osobowe są przekazywane między dwoma organami administracji państwa Unii Europejskiej, a następnie przetwarzane przez jeden z tych organów, powinny zostać wcześniej o tym poinformowane – stwierdził TSUE w wyroku z 1 października 2015 r. w sprawie C-201/14. Trybunał wyjaśnił, że ma tutaj zastosowanie dyrektywa 95/46/WE z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. WE z 1995 r. L 281, s. 31) regulująca te kwestie w sytuacji, gdy stanowią one część zbioru danych lub mają stanowić jego część.
Rumuński przykład
Sprawa dotyczyła rumuńskich przedsiębiorców, którzy prowadzili działalność na własny rachunek i odprowadzali od niej podatki. Jednocześnie administracja podatkowa (ANAF) przekazała ich dane, którymi administrowała, do Krajowej Kasy Ubezpieczenia Zdrowotnego (CNAS). Kasa naliczyła przedsiębiorcom zaległe składki zdrowotne. Zgodnie z prawem rumuńskim podmioty publiczne są zobowiązane na podstawie ustawy nr 95/2006 w sprawie reformy sektora zdrowotnego do przekazywania danych osobowych kasom ubezpieczeń zdrowotnych.
Trybunał, powołując się na informacje przekazane przez sąd w Klużu, podkreślił, że dane podatkowe przekazane CNAS przez ANAF stanowią dane osobowe w rozumieniu dyrektywy 95/46, gdyż chodzi o „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Zdaniem trybunału „zarówno przekazanie ich przez ANAF organowi odpowiedzialnemu za administrowanie bazą danych, w której są zgromadzone, jak i ich późniejsze przetwarzanie przez CNAS mają więc charakter «przetwarzania danych osobowych» w rozumieniu dyrektywy”. Wymóg rzetelnego przetwarzania danych osobowych przewidziany w art. 6 dyrektywy 95/46 zobowiązuje zaś organ administracji publicznej do informowania osób, których dane dotyczą, o ich przekazaniu innemu organowi administracji publicznej w celu ich przetworzenia przez ów drugi organ będący odbiorcą danych.
Polskie wątpliwości
Czy więc urząd podatkowy przekazując nasze dane, powinien nas najpierw informować, komu i w jakim celu takie dane udostępnia? Eksperci są zdania, że tak zdecydowane stanowisko TSUE może mieć swoje konsekwencje również dla polskiego ustawodawcy i oznaczać konieczność zmian. [opinie]
Na razie wyrok trybunału analizują prawnicy biura generalnego inspektora ochrony danych osobowych. Jak się nieoficjalnie dowiedzieliśmy, stanowisko w tej sprawie ma zająć też resort finansów.
Przepisy dyrektywy zostały przeniesione do polskiego prawa i są zawarte w ustawie o ochronie danych osobowych z 29 sierpnia 1997 r. (Dz.U. z 2014 r. poz. 1882)
– Polska ustawa o ochronie danych osobowych stanowi, że w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest zobowiązany poinformować tę osobę bezpośrednio po utrwaleniu zebranych danych – informuje rzeczniczka głównego inspektora ochrony danych osobowych Małgorzata Kałużyńska-Jasak.
Tak wynika z art. 25 ustawy, który jednocześnie określa, kiedy obowiązku takiego spełniać nie trzeba (art. 25 ust. 2). Dotyczy to m.in. sytuacji, gdy administrator przetwarza dane osobowe na podstawie obowiązujących przepisów prawa. A to oznacza, że organy administracji takiego obowiązku nie mają. – Zatem nie można czynić zarzutu organowi administracji publicznej, który udostępnił/przekazał innemu organowi dane osobowe obywatela, o ile działał zgodnie z zasadą praworządności z art. 7 Konstytucji RP na podstawie i w granicach prawa – zaznacza Kałużyńska-Jasak.
ZUS i MF przekazują
Jak jest w naszych urzędach, zapytaliśmy resort finansów. „Przekazywanie danych odbywa się na podstawie przepisów ustawowych. W związku z tym nie istnieje konieczność informowania o tym fakcie osób, których dane dotyczą” – podało nam biuro prasowe Ministerstwa Finansów. Zasady przekazywania danych regulują art. 297–299 ustawy z 29 sierpnia 1997 r. – Ordynacja podatkowa (t.j. Dz.U. z 2015 r. poz. 613 ze zm.). Zgodnie z nimi dane mogą być przekazywane m.in. sądom, prokuratorowi, policji, ale także np. urzędom pracy, wójtom, burmistrzom czy prezydentom miast.
Także Zakład Ubezpieczeń Społecznych udostępnia dane osobowe organom państwowym i organom samorządu terytorialnego w związku z prowadzonymi przez nie postępowaniami. Reguluje to ustawa o systemie ubezpieczeń społecznych z 15 października 1998 r. (t.j. Dz.U. z 2013 r. poz. 1442). – Zgodnie z art. 50 ust. 3–16 ustawy dane ewidencjonowane na koncie płatnika mogą być udostępniane sądom, prokuratorom, organom kontroli skarbowej, organom podatkowym, komornikom sądowym, ośrodkom pomocy społecznej, powiatowym centrom pomocy rodzinie oraz Komisji Nadzoru Finansowego, z uwzględnieniem przepisów dotyczących ochrony danych osobowych – wyjaśnia Radosław Milczarski z biura prasowego Zakładu Ubezpieczeń Społecznych.
OPINIE EKSPERTÓW
Wyrok ma istotne znaczenie dla stosowania polskiej ustawy o ochronie danych osobowych ze względu na wymóg wykładni przepisów zgodnie z prawem Unii Europejskiej. W polskiej ustawie, opierając się jedynie na wykładni gramatycznej, przewiduje się niezwykle daleko idące wyłączenie od obowiązku informowania, gdy podmiot publiczny pozyskuje dane z innych źródeł niż podmiot danych. Z art. 25 ust.2 ustawy wynika, że każde przetwarzanie danych na podstawie przepisów prawa będzie zwalniało z tego obowiązku.
Tymczasem dyrektywa 95/46/WE nie przewiduje aż tak daleko idącego zwolnienia. Zwolnienie dopuszczalne jest w dwóch sytuacjach. Według pierwszej wyłączenie musi być wyraźnie przewidziane przez przepisy prawa, które jednocześnie zapewniają odpowiednie środki zabezpieczające (art. 11 ust. 2). W drugiej zwolnienie może zostać wprowadzone jedynie ustawą kraju członkowskiego, ale tylko ze względu na określone wartości (np. ważny interes ekonomiczny lub finansowy).
Wyrok potwierdza, że również organy administracji publicznej, przetwarzając dane osobowe, mają obowiązek informowania o tym osób, których dotyczą, a odstępstwa od tej zasady maja jedynie wyjątkowy charakter. Obowiązek ten istnieje w przypadku zbierania danych osobowych zarówno osoby, której dane dotyczą, jak i z innych źródeł. Wykonanie obowiązku informacyjnego jest niezwykle istotne, ponieważ dzięki niemu przetwarzanie danych osobowych jest transparentne dla osób, których one dotyczą, i umożliwia korzystanie z innych uprawnień, np. żądań korekcyjnych (uzupełnienia, uaktualnienia lub sprostowania) czy nawet żądania usunięcia przetwarzania danych osobowych. Dlatego też przewidziane w dyrektywie 95/46/WE wyjątki od tego prawa powinny być interpretowane wąsko.
Wyrok może mieć swoje skutki także dla naszego kraju – obecnie bowiem w Polsce nie ma takiej praktyki informowania. Obowiązek informowania przez organy administracji o przekazaniu danych do innego organu jest obecniew Polsce wyłączony na mocy art. 25 ust. 2 pkt 5 ustawy o ochronie danych osobowych, gdy dane są przetwarzane przez administratora ze sfery prawa publicznego na podstawie przepisów prawa. Wydaje się, że jeżeli przepisy prawa regulują wszystkie aspekty związane z przekazywaniem danych, wówczas nie powstanie obowiązek informowania osób, których dane są przekazywane. Jednak zdarzają się także w Polsce przypadki analogiczne do tego, w którym zapadło orzeczenie TSUE – przypadek przekazywania danych (pomiędzy miastem stołecznym Warszawa a Ministerstwem Finansów) na podstawie swoistego porozumienia dotyczył karty warszawiaka. W takim przypadku, jak się wydaje, wyrok skutkowałby koniecznością wykonywania obowiązku informacyjnego w związku z przekazaniem takich danych.
Pozostaje też pytanie, czy polska ustawa o ochronie danych osobowych w odpowiedni sposób transponuje przepisy dyrektywy 95/46/WE. Zgodnie z dyrektywą nie ma obowiązku informowania, „gdy [...] dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo”.
Tymczasem polski odpowiednik tego przepisu stanowi, że obowiązek informacyjny nie powstaje, gdy dane są przetwarzane przez administratora ze sfery prawa publicznego na podstawie przepisów prawa. Dyrektywa akcentuje więc samo gromadzenie lub ujawnianie informacji, podczas gdy polska ustawa mówi ogólnie o „przetwarzaniu” danych osobowych. Wydaje się więc, że – aby obowiązek informacyjny nie powstał – przepis ustawowy powinien wyraźnie dopuszczać ujawnianie lub zbieranie informacji, a nie ogólnie zezwalać tylko na przetwarzanie danych przez organ administracji.
