ITD nie ma odpowiedniej podstawy prawnej do pozyskiwania szczegółowych informacji o sprawcach naruszeń drogowych – twierdzi Urząd Ochrony Danych Osobowych. Albo nastąpi szybka zmiana przepisów, albo będą kary.
Gdy fotoradar zrobi zdjęcie kierowcy przekraczającemu prędkość lub lekceważącemu sygnały świetlne, zgodnie z prawem o ruchu drogowym do akcji wkracza główny inspektor transportu drogowego (wykonujący w tym zakresie zadania inspekcji transportu drogowego). – Do zbierania danych na temat wykroczenia wykorzystywane są formularze GITD, przewidujące kilka scenariuszy: pojazd prowadził jego właściciel, kierowcą była osoba znana właścicielowi lub pojazd prowadziła osoba nieznana posiadaczowi – wyjaśnia Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO sp. z o.o. Każdy z formularzy wymaga przekazania wielu danych osobowych kierowcy lub właściciela pojazdu: imion, nazwiska (w tym rodowego), PESEL, miejsca zatrudnienia, numeru telefonu, informacji o dokumencie tożsamości i dokumencie uprawniającym do kierowania pojazdami, adresów zamieszkania, imion i nazwisk rodziców. Tymczasem przepis, na którego podstawie gromadzony jest ten obszerny zakres informacji – art. 129g ust. 2 pkt 1 lit. d prawa o ruchu drogowym ‒ jest bardzo lakoniczny. Stanowi bowiem, że przetwarza się „dane właściciela lub posiadacza pojazdu lub kierującego pojazdem”. Dla prezesa UODO taki przepis jest niewystarczający, uważa on, że „(...) formularze te są stosowane bez podstawy wynikającej z jakiegokolwiek aktu prawnego”.
Przepis a zakres
Adam Klimowski przyznaje, że rozdźwięk między treścią przepisu a jego interpretacją jest znaczący. I dodaje, że jest to z jednej strony naruszenie zasady legalizmu wskazanej w art. 7 Konstytucji RP, a z drugiej – zasad zgodności z prawem i minimalizacji danych, opisanych w art. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO). Prawnik zauważa też, że przedmiotowy przepis nie został znowelizowany przy okazji wdrażania ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO (Dz.U. 2019 r. poz. 730). Tymczasem kto „wbrew obowiązkowi nie wskaże na żądanie uprawnionego organu, komu powierzył pojazd do kierowania lub używania w oznaczonym czasie”, podlega karze grzywny zgodnie z kodeksem wykroczeń. Jak wielu osób dotyczy problem? Od GITD dowiadujemy się, że w związku z naruszeniami zarejestrowanymi przez urządzenia rejestrujące w 2018 r. wysłano 999 tys. wezwań, a w 2019 r. – 1316 tys.
Doktor Jonatan Hasiewicz, radca prawny i inżynier ruchu drogowego specjalizujący się w prawie o ruchu drogowym, uważa, że prezes UODO ma absolutną rację. Samej inspekcji zarzuca również inne przewinienia w zakresie naruszenia ochrony danych osobowych. – Jako obrońca kierowców obwinionych przez GITD w sprawach o wykroczenia drogowe wielokrotnie spotykałem się z sytuacją niemalże wyłudzania i operowania bez wyraźnej podstawy prawnej danymi osobowymi tych osób. Dotyczy to w szczególności ich wizerunku. Co więcej, często zdjęcia te trafiały w niepowołane ręce, np. gdy GITD wysyłał zawiadomienia o postępowaniach na niewłaściwe adresy stron, a w przypadku obcokrajowców z krajów Unii Europejskiej na adresy siedzib firm transportowych, w których są zatrudniani – twierdzi dr Hasiewicz.
Ze stanowiskiem UODO i opiniami prawników nie zgadza się wydział komunikacji GITD. W przesłanym nam piśmie zapewnia, że inspekcja ma podstawy do przetwarzania danych osobowych, lecz są one zawarte w różnych aktach prawnych. Ponadto GITD wskazuje, że zakres przetwarzanych danych był w przeszłości kontrolowany przez generalnego inspektora ochrony danych osobowych (GIODO), i wówczas nie były zgłaszane w tym zakresie zastrzeżenia. Adam Klimowski ripostuje, że rozporządzenie RODO kładzie większy nacisk na podstawę prawną upoważniającą do przetwarzania określonego zakresu danych osobowych niż obowiązująca w czasach funkcjonowania GIODO ustawa o ochronie danych osobowych z 1997 r. Tym bardziej jeżeli zbiór przetwarzanych danych jest obszerny, a ich wyciek może powodować w dzisiejszych realiach poważniejsze konsekwencje.
Co trzeba zrobić
Prawnicy nie mają wątpliwości, że potrzebna jest nowelizacja. – Należy zmienić prawo o ruchu drogowym, aby zakres danych osobowych właścicieli lub posiadaczy pojazdu lub osób kierujących pojazdami był z jednej strony jasno i konkretnie określony, a z drugiej adekwatny do sytuacji – wskazuje Adam Klimowski. I dodaje, że w przeciwnym razie główny inspektor transportu drogowego, jako administrator danych osobowych, musi liczyć się z ryzykiem kontroli prezesa UODO, a w skrajnym przypadku nawet administracyjną karą pieniężną w maksymalnej wysokości 100 tys. zł.
Z informacji, jakie uzyskaliśmy w Ministerstwie Infrastruktury, wynika, że resort sprawę analizuje. [stanowisko] Co jednak powinny zrobić organy inspekcji, dopóki prawo nie zostanie zmienione? Zdaniem ekspertów GITD powinien przeprowadzić analizę zakresu gromadzonych danych osobowych i ustalić, które z nich są niezbędne dla realizacji zadań,. Na tej podstawie powinny powstać nowe wzory formularzy. – Inspekcja do czasu uregulowania tej kwestii zasadniczo powinna wstrzymać się z działaniami kontrolnymi – uważa dr Jonatan Hasiewicz. Jego zdaniem kierowcy, powołując się na odpowiednie przepisy dotyczące ochrony danych osobowych, mogą odmawiać wypełniania formularzy nadsyłanych przez GITD. Nie zgadza się z tym dr Paweł Litwiński, adwokat specjalizujący się w RODO. Jak tłumaczy, ITD jest uprawniona do przetwarzania tych danych, bo podstawa prawna do tego istnieje. Również UODO wyjaśnia, że ITD nie ma jedynie podstawy prawnej określającej zakres danych – co nie oznacza, że w ogóle nie może przetwarzać danych osobowych. Inny jest też zakres danych, gdy sprawca wykroczenia przyjmuje mandat, a inny, gdy pojawia się konieczność skierowania sprawy do sądu, informuje urząd. Paweł Litwiński zaznacza jednak, że jeśli kierowca uważa, że w jego przypadku zakres zbieranych danych jest zbyt szeroki, może złożyć skargę do prezesa UODO.
Stanowisko Głównego Inspektoratu Transportu Drogowego dla DGP z 19 lutego 2020 r.
Wszelkie dane osobowe są przetwarzane przez Centrum Automatycznego Nadzoru nad Ruchem Drogowym GITD na podstawie i w graniach prawa powszechnie obowiązującego w rozumieniu art. 87 ust. 1 Konstytucji RP, z tym że podstawy prawne dla przetwarzania poszczególnych danych zawarte są w różnych aktach prawnych.
Należy zwrócić uwagę także na art. 55a i następne ustawy o transporcie drogowym, z których wynikają uprawnienia dla GITD do przetwarzania danych osobowych w zakresie niezbędnym do realizacji zadań. Na zakres i sposób przetwarzania danych osobowych przez GITD w tego typu sprawach będą miały wpływ i takie akty, takie jak m.in. rozporządzenie Prezesa Rady Ministrów z 22 lutego 2002 r. w sprawie nakładania grzywien w drodze mandatu karnego, rozporządzenie Prezesa Rady Ministrów z 29 czerwca 2011 r. w sprawie nadania inspektorom Inspekcji Transportu Drogowego oraz pracownikom Inspektoratu Transportu Drogowego uprawnień do nakładania grzywien w drodze mandatu karnego, kodeks postępowania karnego, a także ustawa o krajowym rejestrze karnym. Tok postępowania w sprawach o wykroczenia regulowany jest kodeksem i to zgodnie z nim ustalane są zasady oraz wymogi, którym muszą odpowiadać sporządzane pisma. GITD w prowadzonych postępowaniach stosuje dokumenty, opierając się na wymogach wynikających z przepisów rangi ustawowej ‒ analogicznie jak inne podmioty uprawnione do prowadzenia czynności w sprawach o wykroczenie.
Poza tym zakres przetwarzanych przez Centrum Automatycznego Nadzoru nad Ruchem Drogowym GITD poszczególnych danych, który nie zmieniał się, był już wcześniej badany przez GIODO i nie były zgłaszane w tym zakresie zastrzeżenia pokontrolne.
Stanowisko Urzędu Ochrony Danych Osobowych dla DGP z 19 lutego 2020 r.
Wszystkie podmioty publiczne obowiązane są działać na podstawie przepisów prawa i w granicach kompetencji nadanych im tymi przepisami. Oznacza to, że w przypadku takich instytucji, jak np. Inspekcja Transportu Drogowego (ITD), dla legalnego przetwarzania przez nią danych osobowych musi istnieć podstawa w postaci obowiązujących przepisów prawa. Zobowiązuje je do tego wynikająca z art. 7 Konstytucji Rzeczypospolitej Polskiej zasada legalizmu.
Biorąc pod uwagę fakt, iż brakuje regulacji prawnych dotyczących zakresu danych osobowych, jaki może być pozyskiwany przez Inspekcję Transportu Drogowego w związku z realizacją zadania, jakim jest m.in. prowadzenie postępowań mandatowych za naruszenia przepisów ruchu drogowego, powinna być stosowana zasada minimalizacji danych, określona w art. 5 ust. 1 lit. c RODO. A więc powinny być zbierane tylko te dane, które są konieczne i niezbędne dla osiągnięciu celu administratora danych. Dlatego też Inspekcja Transportu Drogowego, jako administrator, powinna zastanowić się, jakie dane są niezbędne do wystawienia mandatu za naruszenia przepisów ustawy – Prawo o ruchu drogowym.
W określeniu zakresu danych niezbędnych do ukarania kierowców pomocne mogą być również inne regulacje, jak Kodeks postępowania w sprawach o wykroczenia, czy przepisy rozporządzenia Prezesa Rady Ministrów w sprawie nakładania grzywien w drodze mandatu karnego, które określają wzór mandatu karnego.
Stanowisko Ministerstwa Infrastruktury dla DGP z 21 lutego 2020 r.
Do Ministerstwa Infrastruktury wpłynęło wystąpienie prezesa Urzędu Ochrony Danych Osobowych w sprawie przetwarzania danych osobowych przez Główny Inspektorat Transportu Drogowego w związku z realizacją zadań wynikających z art. 129g ustawy z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym w zakresie ujawniania za pomocą stacjonarnych urządzeń rejestrujących zainstalowanych w pasie drogowym dróg publicznych następujących naruszeń przepisów ruchu drogowego: przekraczania dopuszczalnej prędkości oraz niestosowania się do sygnałów świetlnych. Obecnie resort analizuje wystąpienie prezesa UODO.
Podstawa prawna
• art. 129g ust. 2 pkt. 1 lit. d ustawy z 20 czerwca 1997 r. ‒ Prawo o ruchu drogowym (t.j. Dz.U. z 2020 r. poz. 110)
• art. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO)
