RODO w procedurze administracyjnej – 6 wskazówek

920b2847baee50ecb5d9afc7fa6903dd8819c227-xlarge

Organ, który prowadzi postępowanie administracyjne, nie jest zwolniony z przestrzegania RODO.  Wręcz przeciwnie, jako administrator danych osobowych musi spełnić wszystkie wymogi, takie jak wybór właściwej podstawy przetwarzania danych, spełnienie obowiązku informacyjnego względem podmiotów danych, należyte zabezpieczenie danych przetwarzanych w ramach procedury administracyjnej, jak również realizowanie praw osób, których dane dotyczą.

Jowita Sobczak, Agnieszka Kręcisz-Sarna

Celem wstępu – czyje dane przetwarzane są w procedurze administracyjnej

Stroną postępowania jest każdy, którego dotyczy postępowanie ze względu na jego interes prawny lub obowiązek, albo każdy, kto z tego względu żąda czynności organu. Oznacza to, że uznaną za stronę postępowania może być osoba, gdy wynik danego postępowania odnosi się bezpośrednio do tej osoby (art. 28, art. 29 Kodeksu postępowania administracyjnego). Może być to zatem:

  • osoba fizyczna
  • osoba prawna
  • jednostka nieposiadająca osobowości prawnej (w przypadku państwowych i samorządowych jednostek organizacyjnych i organizacji społecznych).

W kontekście RODO interesują nas dane osobowe osób fizycznych jako stron, ale też jako przedstawicieli ustawowych stron (rodzic, opiekun, kurator) i reprezentantów innych podmiotów.

Dane przetwarzaj w wykonaniu obowiązku prawnego lub w celu realizacji zadania publicznego

Organ administracji publicznej prowadzący dane postępowanie administracyjne jest zarazem administratorem danych osobowych wskazanych wyżej osób. Wobec tego musi legitymować się stosowną podstawą przetwarzania tych danych. Dla danych zwykłych podstawy te reguluje art. 6 ust. 1 RODO, natomiast w przypadku przetwarzania szczególnych kategorii danych należy sięgnąć art. 9 ust. 2 RODO. Przesłanki mają charakter alternatywny.

Podstawy przetwarzania danych zwykłych w procedurze administracyjnej

Art. 6 ust. 1 lit. c RODO

Stosowana gdy przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na organie. Postępowanie bowiem przed organami administracji publicznej w należących do właściwości tych organów sprawach indywidualnych rozstrzyganych w drodze decyzji administracyjnych regulują przepisy Kodeksu postępowania administracyjnego.

Art. 6 ust. 1 lit. e RODO

Stosowana, gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej organowi.

Art. 6 ust. 1 lit. d RODO

Stosowana w razie konieczności przetwarzania danych do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej

Art. 6 ust. 1 lit. a RODO

W następstwie zgody podmiotu, którego dane dotyczą. Stosowana tylko wtedy, gdy nie można zastosować innych podstaw przetwarzania.
Zapamiętaj!

W postępowaniu administracyjnym nie można zastosować podstawy z art. 6 ust. 1 lit. f RODO tj. realizacji uzasadnionego interesu administratora. Nie może się na nią powołać organ publicznych w ramach realizacji swoich ustawowych zadań.

Nie przesadzaj z zakresem udostępnianych danych

Przejawem przetwarzania danych osobowych jest także ich udostępnianie, w tym również w pismach kierowanych do stron postępowania administracyjnego. Zakres udostępnianych danych powinien być zgodny z regułą minimalizacji danych z art. 5 ust. 1 lit. c 1 RODO.

Przykład

Organ administracji w zawiadomieniach skierowanych do stron postępowania za każdym razem podawał numery PESEL wszystkich stron.Czy postępował słusznie?

Nie. Konieczne elementy decyzji administracyjnej wskazuje art. 107 § 1 Kodeksu postępowania administracyjnego. Zgodnie z tym przepisem decyzja powinna zawierać m.in. oznaczenie strony lub stron postępowania (bez wskazywania, jakie dane mają służyć do identyfikacji). Jak wskazuje Prezes UODO,  do identyfikacji stron postępowania administracyjnego wystarczające jest wskazanie imienia, nazwiska i adresu zamieszkania. Wykorzystywanie na te potrzeby numeru PESEL jest działaniem niezgodnym z zasadami określonymi w RODO.

Numer PESEL może być podany jedynie wówczas, gdy tylko poprzez ten numer możliwa jest identyfikacja strony postępowania. Numer taki podaje się także zgodnie z przepisami na tytule wykonawczym w przypadku prowadzenia przez organ administracji postępowania egzekucyjnego.

Przykład

O wszczęciu postępowania administracyjnego z urzędu organ musi zawiadomić strony postępowania. Czy w związku z tym w rozdzielniku pisma należy wymienić wszystkich odbiorców pisma, wskazując ich imię i nazwisko?

Skoro więc zawiadomienie o wszczęciu postępowania w sprawie ma być przesłane do stron, to w zawiadomieniu należy wskazać wszystkich odbiorców. Informacja powinna jednak ograniczać się do imienia i nazwiska/nazwy podmiotu. Nie wystarczy natomiast zapis że „otrzymują strony według rozdzielnika”, gdyż nie dostarcza wiedzy na temat tego, kto jest stroną postępowania. Tymczasem każda ze stron ma prawo do działania i do bycia poinformowanym nie tylko o toku postępowania, ale również o innych − uprawnionych − uczestnikach postępowania, którzy w postępowaniu mają określone prawa i obowiązki.

Zapamiętaj!

Zbierane przez organ administracji publicznej dane osobowe powinny być ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane.

Obowiązek informacyjny przy pierwszej czynności skierowanej do strony

Organ administracji publicznej, na co wskazuje wprost art. 2a Kodeksu postępowania administracyjnego, musi spełnić obowiązek informacyjny.

Zapamiętaj!

Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej następujące informacje:

  • nazwę i dane kontaktowe administratora danych oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • dane kontaktowe inspektora ochrony danych (gdy ma to zastosowanie);
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO);
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych (gdy ma to zastosowanie).
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na bazie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO);
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Pobierz wzór klauzuli informacyjnej w postępowaniu administracyjnym

Informacje te należy podać już w wezwaniu, chyba że wezwany posiada już te informacje, a ich zakres lub treść się nie zmieniły. Inne rozwiązanie stosuje się w postępowaniach obejmujących tzw. milczącą zgodę. Wówczas organ administracji publicznej powinien udostępnić informacje, o których mowa w art. 13 ust. 1 i 2 RODO, w Biuletynie Informacji Publicznej na swojej stronie WWW, jak również w widocznym miejscu w swojej siedzibie.  Jednak oprócz tego powinien przekazać je stronie przy pierwszej czynności do niej skierowanej

Zapamiętaj!

Niewykonanie lub wadliwe wykonanie obowiązku informacyjnego nie może uzasadniać przedłużenia terminu załatwienia sprawy ani być usprawiedliwieniem dla bezczynności organu lub przewlekłego prowadzenia postępowania.

Nie zapominaj o prawie dostępu do danych

Każdy podmiot danych może żądać uzyskania od administratora:

  • potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące,
  • a jeżeli tak - dostępu do nich oraz przewidzianych informacji (art. 15 RODO). Mieści się w tym możliwość żądania dostarczenia kopii danych osobowych.

Dotyczy to również postępowania administracyjnego, przy czym oprócz tego uprawnienia stronom przysługuje dodatkowo prawo wglądu w akta sprawy.

Zapamiętaj!

Strona postępowania administracyjnego może:

  • mieć wgląd w akta sprawy,
  • sporządzać z nich notatki, kopii lub odpisy,

także po zakończeniu postępowania (art. 73 § 1 w zw. z art. 74a Kodeksu postępowania administracyjnego). Czynności te dokonywane są w lokalu organu administracji publicznej w obecności pracownika tego organu.

Przy czym w przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi w stosunku do strony i uczestnika postępowania nie stosuje się art. 15 ust. 1 lit. g RODO (art. 236 § 2 Kodeksu postępowania administracyjnego). Dotyczy to oczywiście wyłącznie procedury skargowej. To zaś oznacza, że jeśli dane osobowe nie zostały zebrane od osoby, której dane dotyczą, wówczas organ administracji publicznej nie ma obowiązku podawać tej osobie wszelkich dostępnych informacji o ich źródle. Natomiast skarżący może na każdym etapie tego postępowania zezwolić organowi na udostępnienie swoich danych stronie postępowania (art. 236 § 3 Kodeksu postępowania administracyjnego). W takim przypadku wgląd w akta sprawy w przypadku następuje z pominięciem danych osobowych osoby składającej skargę.

Spełnij żądanie ograniczenia przetwarzania

Podmiot danych może żądać od organu administracji publicznej ograniczenia przetwarzania tych danych, jeżeli:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający organowi sprawdzić prawidłowość tych danych; przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  • organ nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą (w przypadku organu może to dotyczyć wyłącznie przetwarzania opartego na art. 6 ust. 1 lit. e RODO).
Zapamiętaj!

Żądanie ograniczenia przetwarzania nie ma wpływu na przebieg i rezultat postępowania prowadzonego przez organ administracji publicznej.

Wprowadź odpowiednie środki bezpieczeństwa

Jak każdy inny administrator danych, organ administracji publicznej ma obowiązek wdrożenia odpowiednich środków organizacyjnych i technicznych służących ochronie danych osobowych przetwarzanych w prowadzonych postępowaniach administracyjnych. W tym zakresie powinien brać pod uwagę ryzyko wynikając zwłaszcza z przypadkowego lub nielegalnego zniszczenia, utraty, modyfikacji, ujawnienia, nieuprawnionego dostępu do danych osobowych.

Zapamiętaj!

6 zadań ADO

Jako organ administracji publicznej powinieneś w szczególności:

  • zapewnić bezpieczną komunikację w sieciach teleinformatycznych, w szczególności poprzez pozyskiwanie danych osobowych i przekazywanie ich podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;
  • dopuścić do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
  • zagwarantować ochronę przed nieuprawnionym dostępem do systemów informatycznych;
  • zapewnić integralność danych w systemach informatycznych organów;
  • określić zasady bezpieczeństwa przetwarzanych danych osobowych (np. politykę bezpieczeństwa danych) dla pracowników i współpracowników;
  • testować i doskonalić stosowane środki techniczne i organizacyjne.

 

Podstawa prawna:
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 4, art. 5, art. 6, art. 9, art. 10, art. 13, art. 15, art. 18, art. 32.
  • Ustawa z 14 czerwca 1960 r. − Kodeks postępowania administracyjnego, tj. z 20 grudnia 2019 r. (Dz.U. z 2020 r. poz. 256) – art. 2a, art. 28, art. 29, art. 31, art. 73, art. 74, art. 183, art. 236.
  • Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730).