RODO w procedurze „Niebieskie Karty”

Kategoria: Aktualności i wydarzenia
Centrum Informacji NL

ekspert radzi nCzy przepisy RODO1 mają zastosowanie do procedury „Niebieskie Karty”? Czy należy informować poszczególne osoby o przetwarzaniu ich danych w procedurze NK? Czy zmienił się zakres danych, jakie wolno pozyskiwać i przetwarzać w procedurze NK? Artykuł jest próbą uporządkowania informacji i odpowiedzi na podstawowe pytania, które rodzą się w związku z wejściem w życie przepisów RODO.

W zakresie przeciwdziałania przemocy w rodzinie, a w szczególności w ramach procedury „Niebieskie Karty” pozyskuje się i przetwarza dane co najmniej:

Rodzaj i zakres gromadzonych danych wynika wprost z Ustawy z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (Dz.U. Nr 180, poz. 1493), tj. z 24 sierpnia 2015 r. (Dz.U. z 2015 r. poz. 1390). Od samego początku wejścia w życie przepisów o procedurze „Niebieskie Karty” kwestia ochrony danych osobowych wzbudzała znaczne kontrowersje. Do wcześniej podnoszonych wątpliwości obecnie dołączyła nowa dla nas wszystkich rzeczywistość, związana z wejściem w życie przepisów RODO. Czy prze pisy RODO mają zastosowanie do procedury NK? Czy członkom rodzin objętych procedurą NK należy udostępnić dokumentację zawierającą ich dane osobowe? Czy należy informować poszczególne osoby o przetwarzaniu ich danych w procedurze NK? Czy zmienił się zakres danych, jakie wolno pozyskiwać i przetwarzać w procedurze NK?

To tylko kilka najpopularniejszych pytań, z jakimi muszą się zmierzyć administratorzy danych oraz wszystkie osoby uczestniczące w procedurze NK, bez względu na to, w jakiej roli w niej występują. Jednocześnie pełna i wyczerpująca odpowiedź na nie wymaga analizy prawnej wykraczającej znacząco poza ramy artykułu. Poniżej nastąpi zatem próba uporządkowania wiedzy o RODO w jej podstawowym wymiarze oraz konsekwentne zarysowanie odpowiedzi na przytoczone pytania.

Dla porządku wywodu należy w pierwszej kolejności zaznaczyć, że proces legislacyjny dostosowania prawa krajowego do RODO jeszcze się nie zakończył. W chwili, gdy pisany jest ten artykuł trwają pracę nad obszerną nowelizacją ponad 150 aktów prawnych, które powinny zawierać szczegółowe uregulowania dotyczące sposobu pozyskiwania, przetwarzania i udostępniania danych osobowych.

Projektowana nowelizacja obejmuje również propozycję zmiany ustawy o przeciwdziałaniu przemocy w rodzinie. Wejście w życie RODO zmieniło codzienne funkcjonowanie sfery publicznej w Polsce. Jesteśmy zasypywani żądaniami podpisywania informacji o tym, że wiemy kto i w jakim celu przetwarza nasze dane osobowe. Jednak pierwsze wrażenie jest takie, że owe informacje pochodzą od podmiotów, o których wiedzieliśmy, że mają nasze dane i nie sprzeciwialiśmy się temu. Z tego powodu pojawiają się opinie krytyczne wobec RODO, że powoduje jedynie dodatkowy kłopot. Tymczasem wartość owych informacji zostanie doceniona dopiero w sytuacji, kiedy konkretne osoby zaczną domagać się zaprzestania przetwarzania ich danych. Dopiero bowiem na tym etapie będzie można dokonać oceny, w jakim stopniu (i czy skutecznie) RODO chroni nasze dane osobowe.

Procedura „Niebieskie Karty” wydaje się być z tej perspektywy szczególnie skomplikowana. Osoba, co do której istnieje podejrzenie, że została dotknięta przemocą w rodzinie podaje swoje dane osobowe oraz dane osobowe członków rodziny osobie, która reprezentuje jeden z pięciu podmiotów: Policję, pomoc społeczną, oświatę, ochronę zdrowia, gminną komisję rozwiązywania problemów alkoholowych.

Podmiot ten pozostawia sobie kopię danych i przekazuje je do przewodniczącego właściwego miejscowo zespołu interdyscyplinarnego. W ramach procedury dane osobowe są przekazywane członkom zespołu, którzy są przedstawicielami (poza pięcioma wymienionymi podmiotami) wszelkich innych podmiotów zajmujących się przeciwdziałaniem przemocy w rodzinie. Zatem z punktu widzenia pozyskiwania i przetwarzania danych osobowych mamy do czynienia z szeregiem czynności sprowadzających się do dużego przedsięwzięcia. Jednocześnie każdy podmiot, który przetwarza dane w ramach procedury NK, czyni to w ramach swoich obowiązków zawodowych oraz posiadając do tego wyraźne ustawowe upoważnienie (art. 9a–9d Ustawy z dnia 29 lipca 2005 roku o przeciwdziałaniu przemocy w rodzinie).

Oba warunki (działalność zawodowa, realizacja celu określonego prawem) są konieczne do spełnienia, aby zgodnie z RODO pozyskiwanie i przetwarzanie danych było legalne oraz nie było konieczne pozyskiwanie zgody osoby fizycznej na pozyskiwanie i przetwarzanie danych oraz informowanie jej o tym, że wskazane wyżej podmioty posiadają dane osobowe. Wniosek taki wynika wprost z analizy art. 14 RODO w brzmieniu:

Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Ust. 1–4 nie mają zastosowania, gdy – i w zakresie, w jakim:
a) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
b) dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Treść przytoczonego art. 14 RODO dotyczy sytuacji, kiedy dane zostały pozyskane nie od osoby, której dotyczą np. osoba zgłaszająca przemoc wskazuje na osobę, co do której istnieje podejrzenie, że jest sprawcą przemocy. Ponieważ członkowie zespołu interdyscyplinarnego i/lub grup roboczych objęci są ustawowym obowiązkiem zachowania tajemnicy, we wskazanym przypadku będzie miał zastosowanie art. 14 ust. 5 RODO.

Jak jednoznacznie wynika z przedstawionego powyżej przykładu, RODO zawiera nie tylko ogólne zasady dotyczące pozyskiwania i przetwarzania danych osobowych, ale również dopuszcza wiele wyjątków od owych zasad. Poza wyłączeniami w samym RODO przewidziano również, że prawo krajowe poszczególnych państw może wprowadzać dalej idące wyłączenia. Kwestia ta została uregulowana w art. 23 ust. 1 RODO w brzmieniu:

Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym: …lit i) ochronie osoby, której dane dotyczą, lub praw i wolności innych osób.

Poza wspomnianym już, niezakończonym procesem legislacyjnym, polski ustawodawca przyjął Ustawę o ochronie danych osobowych z 10 maja 2018 roku (Dz.U. z 2018 r. poz. 1000). Ustawa m.in. w art. 4 i 5 zawiera dalej idące ograniczenia stosowania prawa do informowania o po zyskaniu i przetwarzaniu danych osobowych (art. 14 i 15 RODO).

Można zatem nakreślić następujący porządek regulacji RODO w połączeniu z Ustawą z 10 maja 2018 r. o ochronie danych osobowych:

Analiza tak przedstawionego zestawienia dwóch aktów prawnych pozwala wyprowadzić twierdzenie, że w ramach procedury „Niebieskie Karty” możliwe jest nieinformowanie o pozyskaniu danych osobowych osoby, której dane dotyczą, jeżeli nie ona je przekazała. Podobnie można zanie chać informowania w przypadku zmiany celu przetwarzania.

Bardziej skomplikowaną czynnością będzie odmowa udzielenia dostępu do danych, ale i w tym wypadku wskazane wyżej przepisy przewidują taką możliwość. W ocenie autora niniejszego artykułu brak jest jednak podstaw, zarówno w RODO jak i w ustawie o ochronie danych osobowych do zaniechania przekazywania informacji osobie, której dane dotyczą w sytuacji, gdy pochodzą od niej bezpośrednio (art. 13 RODO w zw. z art. 3 ustawy o ochronie danych osobowych).

Podobnie doprecyzowania w dokumencie o randze ustawy wymaga wskazanie katalogu danych osobowych, które będą możliwe do pozyskiwania i przetwarzania w ramach procedury Niebieskie Karty.

Na zakończenie podkreślenia wymaga, że RODO zachowało wcześniej obowiązującą zasadę szczególnej ochrony określonej kategorii danych. W art. 9 RODO zabrania się bowiem: przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Jednak już bezpośrednio RODO wprowadza wyjątki od wskazanego zakazu m.in. w sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków wynikających z zabezpieczenia społecznego i ochrony socjalnej. W tym zakresie należy podkreślić, że przeciwdziałanie przemocy w rodzinie jako jedno z zadań pomocy społecznej wpisuje się w zakres przedmiotowy zabezpieczenia społecznego. Również i w tym wypadku konieczne jest jednak wskazanie poprzez zapis ustawowy, jakie dane i w jakim celu miałyby być przetwarzane.

Grzegorz Wrona – doktor nauk prawnych, adwokat, certyfikowany specjalista oraz superwizor z zakresu przeciwdziałania przemocy w rodzinie, Warszawa.

Materiał Niebieskiej Akademii Warszawskiej, projekt finansuje Miasto Stołeczne Warszawa. 
LOGO biale finansowanie