W Dz.U. z 2019 r. pod poz. 730 opublikowano ustawę z 21.2.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

1. Ochrona danych osobowych

W ustawie z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. poz. 1000 ze zm.; dalej: OchrdanychU) dodano art. 5a, który reguluje sytuację, gdy administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1-3 RODO , zgodnie z którym osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do określonych informacji. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu.

Niewykonywanie tych obowiązków wystąpi w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom, a także ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:

1) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności;

2) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych;

3) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi;

4) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami;

5) prowadzenie kontroli, w tym kontroli celno-skarbowych.

W omawianym przypadku administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 RODO w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.

Inne przepisy dodane do OchrdanychU dotyczą:

1) przetwarzania danych w ramach konstytucyjnych i ustawowych kompetencji Prezydenta RP – zgodnie z art. 6a OchrdanychU do takiego przetwarzania danych osobowych, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art. 4-7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28-30, art. 32, art. 34, art. 35, art. 37-39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 OchrdanychU (natomiast przetwarzanie tzw. danych drażliwych (art. 9 i art. 10 RODO), następuje w zakresie niezbędnym do realizacji tych kompetencji Prezydenta RP, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji);

2) wyznaczenia zastępcy inspektora ochrony danych osobowych (IODO) – zgodnie z art. 11a ODOU podmiot, który wyznaczył IODO, może wyznaczyć osobę go zastępującą w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 RODO (przy czym, do zastępcy stosuje się odpowiednio przepisy dotyczące IODO, a podmiot, który wyznaczył osobę zastępującą IODO, zawiadamia też Prezesa UODO);

3) obowiązku dostarczenia danych niezbędnych do określenia podstawy wymiaru kary – zgodnie z art. 101a OchrdanychU w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot, inny niż jednostka sektora finansów publicznych, instytut badawczy lub NBP, ma obowiązek dostarczyć Prezesowi UODO, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej (w razie niedostarczenia takich danych lub gdy dostarczone dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes UODO ustala taką podstawę w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu);

4) kary za niedostarczenie wymienionych danych – zgodnie z art. 108 ust. 2 OchrdanychU, grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 2 lat podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

2. Ewidencja ludności

W ustawie z 24.9.2010 r. o ewidencji ludności (t.j. Dz.U. z 2018 r. poz. 1382 ze zm.; dalej: EwidLudU) zmieniono art. 6, zgodnie z którym po zmianie rejestr PESEL jest centralnym zbiorem danych prowadzonym w systemie teleinformatycznym, którego utrzymanie i rozwój, w celu realizacji zadań określonych w EwidLudU, zapewnia minister właściwy do spraw informatyzacji (obecnie minister cyfryzacji), w tym:

1) zapewnia: ochronę przed nieuprawnionym dostępem do rejestru PESEL, integralność danych w tym rejestrze, dostępność systemu teleinformatycznego, w którym PESEL jest prowadzony, dla podmiotów przetwarzających w nim dane, rozliczalność działań dokonywanych na danych rejestru PESEL oraz poprawność danych przetwarzanych w PESEL;

2) określa zasady: bezpieczeństwa przetwarzanych danych, w tym danych osobowych, a także zgłaszania naruszenia ochrony danych osobowych;

3) przeciwdziała: uszkodzeniom systemu teleinformatycznego, w którym PESEL jest prowadzony.

Przewidziano zadania dla poszczególnych ministrów:

1) MSWiA na wniosek ministra cyfryzacji może uczestniczyć w realizacji zadań związanych z rozwojem rejestru PESEL oraz zapewnieniem poprawności danych w tym rejestrze;

2) MSWiA zapewnia funkcjonowanie wydzielonej sieci umożliwiającej dostęp do rejestru PESEL organom (chodzi o organ gminy, kierownika urzędu stanu cywilnego, organy paszportowe, wojewodę), z wyłączeniem konsulów;

3) minister spraw zagranicznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej konsulom dostęp do rejestru PESEL;

4) minister cyfryzacji wykonuje obowiązki, o których mowa w art. 15 RODO (chodzi o realizację prawa dostępu osobie, której dane dotyczą); trzeba przy tym dodać, że uchylono art. 45 EwidLudU, który dotyczył prawa dostępu do danych w ewidencji ludności.

W celu realizacji zadań określonych w ustawie organ gminy, kierownik urzędu stanu cywilnego, organy paszportowe, wojewoda, minister właściwy do spraw wewnętrznych oraz minister właściwy do spraw informatyzacji posiadają dostęp do rejestru.

Z nowego art. 6a EwidLudU wynika zaś, że rejestr mieszkańców jest prowadzony zgodnie z właściwością miejscową przez organ gminy, tj. wójta, burmistrza lub prezydenta miasta). Utrzymanie i rozwój rejestru mieszkańców zapewnia organ właściwy do jego prowadzenia, który w zakresie tego rejestru podejmuje działania wskazane wyżej w zakresie m.in. zapewnienia ochrony i integralności danych, określenia bezpieczeństwa przetwarzania danych, czy przeciwdziałania uszkodzeniom systemu teleinformatycznego.

Dodano też nowe zapisy, zgodnie z którymi:

1) zapisy w dziennikach systemów (logach) przechowywane są przez 5 lat od dnia ich utworzenia (art. 10 ust. 6a EwidLudU);

2) usunięcie niezgodności może polegać w szczególności na sprostowaniu danych nieprawidłowych lub uzupełnieniu danych, natomiast wniosek o sprawdzenie danych w rejestrze PESEL powinien zawierać imię (imiona) i nazwisko, PESEL, adres do korespondencji – jeżeli korespondencja ma być prowadzona drogą pocztową, oraz uzasadnienie (art. 11 ust. 2b i 2c EwidLudU);

3) danych i zapisów zgromadzonych w rejestrze PESEL i rejestrach mieszkańców nie usuwa się, z zastrzeżeniem art. 10 ust. 6 i 6a EwidLudU (art. 12a EwidLudU).

3. Dowody osobiste

W ustawie z 6.8.2010 r. o dowodach osobistych (t.j. Dz.U. z 2019 r. poz. 653 ze zm.; dalej: DowOsobU) rozbudowano treść art. 55 DowOsobu m.in. w zakresie roli ministra cyfryzacji.

Utrzymanie i rozwój Rejestru Dowodów Osobistych (RDO), w celu realizacji zadań określonych w ustawie, zapewnia minister cyfryzacji, w tym:

zapewnia:

  • ochronę przed nieuprawnionym dostępem do RDO
  • integralność danych w RDO
  • dostępność systemu teleinformatycznego, w którym RDO jest prowadzony, dla podmiotów przetwarzających dane w tym rejestrze
  • rozliczalność działań dokonywanych na danych RDO
  • poprawność danych przetwarzanych w RDO

przeciwdziała:

  • uszkodzeniom systemu teleinformatycznego, w którym Rejestr Dowodów Osobistych jest prowadzony

określa zasady:

  • bezpieczeństwa przetwarzanych danych, w tym danych osobowych
  • zgłaszania naruszenia ochrony danych osobowych

Ponadto:

1) MSWiA na wniosek ministra cyfryzacji może uczestniczyć w realizacji zadań związanych z rozwojem RDO oraz zapewnieniem poprawności danych przetwarzanych w tym rejestrze;

2) MSWiA zapewnia funkcjonowanie wydzielonej sieci umożliwiającej dostęp organom (tj. organowi gminy, wojewodzie, konsulowi) do RDO;

3) minister spraw zagranicznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej dostęp konsulom do RDO;

4) minister cyfryzacji wykonuje obowiązki, o których mowa w art. 15 RODO.

W celu realizacji zadań określonych w ustawie dostęp do Rejestru Dowodów Osobistych posiadają: organ gminy, wojewoda, konsul, minister właściwy do spraw wewnętrznych oraz minister właściwy do spraw informatyzacji. Natomiast dane do RDO wprowadzają bezpośrednio w czasie rzeczywistym: organ gminy właściwy do wydania dowodu osobistego, a także MSWiA w zakresie wskazanym w art. 55 ust. 6 DowOsobU.

Dodano też zapisy, zgodnie z którymi danych zgromadzonych w RDO nie usuwa się, a w RDO gromadzi się dane dotyczące wszystkich dowodów osobistych spersonalizowanych dla danej osoby, w tym nieważnych i spersonalizowanych wadliwie (art. 56 ust. 2 i 3 DowOsobU).

Ponadto, zgodnie z nowymi przepisami art. 56a i 56b DowOsobU, organ gminy, przyjmując wniosek o wydanie nowego dowodu osobistego, z urzędu dokonuje sprawdzenia danych zawartych we wniosku o wydanie dowodu osobistego z danymi zawartymi w RDO oraz w rejestrze PESEL . Natomiast w przypadku stwierdzenia:

1) niezgodności danych zawartych we wniosku z danymi zawartymi w obu tych rejestrach, organ, który stwierdził niezgodność danych, podejmuje działania w celu usunięcia niezgodności zgodnie z art. 11 EwidLudU;

2) błędu lub braku danych w RDO w odniesieniu do danych, o których mowa w art. 56 ust. 1 pkt 2-4 i 6 DowOsobU, organy według swojej właściwości przekazują niezwłocznie informację o potrzebie ich sprostowania lub uzupełnienia do ministra właściwego do spraw informatyzacji, z wykorzystaniem systemu teleinformatycznego.

W ramach pozostałych zmian m.in. uchylono art. 57 i 58 DowOsobU, które dotyczyły prawa dostępu do danych oraz przetwarzania danych w RDO.