W Dz.U. z 2019 r. pod poz. 730 opublikowano ustawę z 21.2.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
W zakresie postępowania administracyjnego i nie tylko, zmiany dotyczą głównie przewidzianego w art. 13 ust. 1 i 2 RODO obowiązku informacyjnego. Przypomnijmy, że zgodnie z tymi przepisami jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
1) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
2) dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie);
3) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
4) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO);
5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6) informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (gdy ma to zastosowanie).
Poza powyższymi informacjami podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
1) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
2) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
3) informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO);
4) informacje o prawie wniesienia skargi do organu nadzorczego; e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
5) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
1. Postępowanie administracyjne
Zmiany wprowadzono m.in. do ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (t.j. Dz.U. z 2018 r. poz. 2096 ze zm.; dalej: KPA). Dodano m.in. art. 2a KPA, zgodnie z którym KPA normuje również sposób wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 RODO, w postępowaniach administracyjnych z art. 1 i art. 2 KPA. Wykonywanie tego obowiązku odbywa się niezależnie od obowiązków organów administracji publicznej przewidzianych w KPA i nie wpływa na tok i wynik postępowania. Takiego wpływu nie ma też wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 RODO (chodzi o żądanie od administratora ograniczenia przetwarzania danych w określonych przypadkach).
Informacje, o których mowa w art. 13 ust. 1 i 2 RODO:
1) zawiera się w wezwaniu do udziału w podejmowanych czynnościach (art. 54 § 1a KPA),
2) organ administracji publicznej przekazuje przy pierwszej czynności skierowanej do strony (art. 61 § 5 KPA), przy czym, to samo dotyczy postanowienia o odmowie wszczęcia postępowania (art. 61a § 1 KPA),
3) zawiera zawiadomienie o przekazaniu sprawy właściwemu organowi w zakresie danych przetwarzanych przez organ przekazujący (art. 65 § 1a KPA) przy czym, to samo dotyczy zawiadomienia o konieczności wniesienia odrębnych podań do właściwych organów w razie zawarcia w jednym podaniu kilku żądań podlegających rozpatrzeniu przez różne organy (art. 66 § 1 KPA),
4) organ administracji publicznej przekazuje przy pierwszej czynności skierowanej do strony przy wydawaniu zaświadczeń (art. 217a KPA),
– chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.
Ponadto:
1) organy właściwe w sprawach skarg i wniosków przekazują informacje, o których mowa w art. 13 ust. 1 i 2 RODO skarżącemu lub wnioskodawcy przy pierwszej czynności skierowanej do tych osób (art. 226a KPA);
2) informacje te w zakresie danych przetwarzanych przez organ przekazujący skargę, dołącza się do zawiadomienia o przekazaniu skargi (art. 231 § 2 KPA).
Strona ma prawo wglądu w akta sprawy, sporządzania z nich notatek, kopii lub odpisów. Prawo to przysługuje również po zakończeniu postępowania. Czynności tych dokonuje się w lokalu organu administracji publicznej w obecności pracownika tego organu (art. 73 § 1 i 1a KPA). Natomiast zgodnie z art. 74a KPA, prawo wglądu w akta sprawy nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 RODO, zgodnie z którym osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz przewidzianych informacji.
Na koniec, w art. 236 KPA dodano § 2 i 3, z których wynika, że:
1) w przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi, w stosunku do strony i uczestnika postępowania przepisu art. 15 ust. 1 lit. g RODO nie stosuje się (chodzi o prawo dostępu do informacji obejmujących wszelkie dostępne informacje o ich źródle, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą);
2) na każdym etapie wyżej wymienionego postępowania skarżący może zezwolić organowi na udostępnienie swoich danych stronie postępowania.
2. Administracyjne postępowanie egzekucyjne
W ustawie z 17.6.1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz.U. z 2018 r. poz. 1314 ze zm.) dodano art. 5a, zgodnie z którym dane osobowe przetwarzane w celu wykonywania zadań wynikających z tej ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności;
3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez pozyskiwanie danych osobowych i przekazywanie ich podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych organów;
6) zapewnieniu integralności danych w systemach informatycznych organów;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.