Biuletyn Informacji Publicznej RPO

Szeroki zakres danych osobowych przy pieczy zastępczej. Odpowiedź PUODO

Data:
  • Członkowie rodzin zastępczych obawiają się o bezpieczeństwo zbyt szerokiego zakresu danych osobowych, przetwarzanych w rejestrze danych dotyczących pieczy zastępczej
  • Rzecznik Praw Obywatelskich występuje o opinię do Prezesa Urzędu Ochrony Danych Osobowych
  • AKTUALIZACJA: Choć przewidziany w art. 38e ustawy o pieczy zastępczej katalog podmiotów jest nadal obszerny, to w następstwie uwag organu właściwego w sprawie ochrony danych osobowych z 13 października 2021 r. do ówczesnego art. 38d ust. 11 ustawy o pieczy zastępczej projektodawca w art. 38e w związku z art. 38d ustawy o pieczy zastępczej uszczegółowił zakres danych podlegających udostępnieniu oraz wskazał cele udostępnienia danych poszczególnym podmiotom - odpowiada UODO

Rodziny zastępcze zwracają się do RPO w sprawie zakresu i bezpieczeństwa danych osobowych gromadzonych i przetwarzanych w rejestrze danych związanych z pieczą, tworzonych na podstawie ustawy o wspieraniu rodziny i systemie pieczy zastępczej.

Od 1 lutego 2023 r., na mocy ustawy z 7 października 2022 r. o zmianie tej ustawy, dodano do niej art. 38d, który w ust. 1 przewiduje prowadzenie rejestru obejmującego:

  • wykaz dzieci umieszczonych w pieczy zastępczej, osób, które osiągnęły pełnoletność przebywając w pieczy zastępczej, o których mowa w art. 37 ust. 2-4 i 6, oraz osób opuszczających rodzinną pieczę zastępczą jako niepełnoletnie, o których mowa w art. 37 ust. 5 i 6, z podziałem na dzieci umieszczone lub przebywające w poszczególnych formach rodzinnej pieczy zastępczej oraz poszczególnych formach instytucjonalnej pieczy zastępczej oraz na osoby, o których mowa w art. 37 ust. 2-4 i 6, i osoby opuszczające rodzinną pieczę zastępczą jako niepełnoletnie, o których mowa w art. 37 ust. 5 i 6, przebywające w poszczególnych formach rodzinnej pieczy zastępczej i poszczególnych formach instytucjonalnej pieczy zastępczej;
  • wykaz osób posiadających pozytywną lub negatywną wstępną kwalifikację do pełnienia funkcji rodziny zastępczej lub prowadzenia rodzinnego domu dziecka;
  • wykaz kandydatów zakwalifikowanych do pełnienia funkcji rodziny zastępczej lub prowadzenia rodzinnego domu dziecka;
  • wykaz rodzin zastępczych z podziałem na rodziny zastępcze spokrewnione, niezawodowe i zawodowe;
    wykaz rodzinnych domów dziecka;
  • wykaz placówek opiekuńczo-wychowawczych, regionalnych placówek opiekuńczo-terapeutycznych oraz interwencyjnych ośrodków preadopcyjnych;
  • wykaz osób usamodzielnianych.

Rejestr jest prowadzony przez starostę, organizatora rodzinnej pieczy zastępczej, marszałka województwa i wojewodę za pomocą zapewnionego przez ministra właściwego ds. rodziny systemu teleinformatycznego umożliwiającego prowadzenie tego rejestru, przekazywanie do niego danych, usuwanie z niego danych oraz udostępnianie z niego danych.

Ustępy 3-9 art. 38d ustawy zawierają wyliczenie danych gromadzonych w poszczególnych wykazach. W ust. 16 nakładają na osoby posiadające wstępną kwalifikację do pełnienia funkcji rodziny zastępczej lub prowadzenia rodzinnego domu dziecka, kandydatów zakwalifikowanych do pełnienia funkcji rodziny zastępczej lub prowadzenia rodzinnego domu dziecka, rodziny zastępcze, osoby prowadzące rodzinne domy dziecka oraz osoby usamodzielniane, obowiązek informowania o każdej zmianie danych organy właściwe do wpisów w rejestrze.

Zainteresowani wskazują przede wszystkim, że zakres gromadzonych w rejestrze danych dotyczących rodzin zastępczych obejmuje m.in. stan cywilny, zawód, miejsce zatrudnienia, źródło i wysokość dochodów.  Jest nadmiarowy wobec celu, jakiemu ma służyć rejestr i pozostaje w kolizji z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 rozporządzenia RODO. Wyrażają zarazem obawę o bezpieczeństwo tych danych ze względu na to, że wiele organów jest uprawnionych do ich pozyskania. W konsekwencji rodzi to ryzyko ujawnienia danych wrażliwych i naruszenia prawa do prywatności.

Niepokój budzi także gromadzony w rejestrze zakres danych dotyczących dzieci, bezpieczeństwo tych danych i brak szczegółowych wytycznych co do sposobu, trybu i częstotliwości przekazywania danych aktualizacyjnych, m.in. danych o stanie zdrowia podlegających szczególnemu reżimowi przetwarzania.

W myśl RODO dane osobowe powinny być przetwarzane zgodnie z zasadami: zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych i ograniczenia przechowywania. Regulacje ustawowe obejmujące problematykę przetwarzania danych powinny być kształtowane w sposób zapewniający stosowanie i zachowanie powyższych zasad. W sytuacji rejestru danych związanych z pieczą kwestia ochrony danych osobowych dzieci i rodzin nabiera szczególnego znaczenia, a sam rejestr powinien był odpowiadać gwarancjom wynikającym z art. 51 ust. 2 Konstytucji RP.

Z tych powodów zastępca RPO Stanisław Trociuk prosi o opinię prezesa UODO Jana Nowaka.

Odpowiedź prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka

W odpowiedzi na pismo z dnia 27 czerwca 2023 r. (znak: III.554.2.2023.JA) uprzejmie informuję, że podniesione w Pana piśmie kwestie były przedmiotem troski organu właściwego w sprawie ochrony danych osobowych na etapie opiniowania projektu ustawy o zmianie ustawy o wspieraniu rodziny i systemie pieczy zastępczej oraz niektórych innych ustaw, który to projekt został uchwalony jako ustawa z dnia 7 października 2022 r. o zmianie ustawy o wspieraniu rodziny i systemie pieczy zastępczej oraz niektórych innych ustaw.

W piśmie z dnia 13 października 2021 r. (sygn. DOL.401.497.2021.WL.AG) skierowanym do Pani Barbary Sochy - Podsekretarz Stanu w Ministerstwie Rodziny i Polityki Społecznej organ nadzorczy zwrócił uwagę, iż - dodawany przez (wówczas) projekt ustawy o zmianie ustawy o wspieraniu rodziny i systemie pieczy zastępczej oraz niektórych innych ustaw - art. 38d ustawy z dnia 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej (Dz. U. z 2022 r. poz. 447, z późn. zm.), powoływanej dalej z zastosowaniem skrótu „ustawa o pieczy zastępczej”, przewiduje bardzo szeroki katalog danych osobowych podlegających przekazaniu do rejestru (obejmującego 7 wykazów wskazanych w ust. 1 tego artykułu).

W opinii organu właściwego w sprawie ochrony danych osobowych projektodawca nie wykazał niezbędności pozyskiwania i gromadzenia w rejestrze (a zatem też w wykazach) tak wielu danych, jak przewiduje to art. 38d ustawy o pieczy zastępczej, a zatem powinien ponownie przeanalizować przedmiotowy katalog danych osobowych pod kątem niezbędności pozyskiwania danych dla realizacji celu (celów), który to cel powinien być określony (cele powinny być określone) przepisami prawa. Organ nadzorczy wskazał wówczas, że dokonując tej analizy projektodawca winien wziąć pod uwagę - statuowane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.5.2016, str. 1, z późn. zm.), powoływanym dalej z zastosowaniem skrótu „rozporządzenie 2016/679” - zasady ograniczenia celu1) i minimalizacji danych   ).

Tytułem przykładu dla zobrazowania ww. problemów organ wskazał na pozyskiwanie zarówno daty urodzenia, jak i numeru PESEL (art. 38d ust. 3 pkt 4 i 6, ust. 4 pkt 2 i 3, ust. 5 pkt 2 i 3, ust. 6 pkt 2 i 3 oraz ust. 7 pkt 2 i 3 ustawy o pieczy zastępczej), w sytuacji gdy jedna z tych danych byłaby wystarczająca do zidentyfikowania konkretnej osoby. I gromadzenie w rejestrze danych osób posiadających pozytywną wstępną kwalifikację do pełnienia funkcji rodziny zastępczej lub prowadzenia rodzinnego domu dziecka (art. 38d ust. 1 pkt 2 i ust. 4 ustawy o pieczy zastępczej) oraz kandydatów zakwalifikowanych do pełnienia funkcji rodziny zastępczej lub prowadzenia rodzinnego domu dziecka (art. 38d ust. 1 pkt 3 i ust. 5 ustawy o pieczy zastępczej) w takim samym zakresie jak danych rodzin zastępczych (art. 38d ust. 1 pkt 4 i ust. 6 ustawy o pieczy zastępczej), podczas gdy obowiązki i odpowiedzialność osób, o których mowa w art. 38d ust. 1 pkt 2 i 3 ustawy o pieczy zastępczej, jest o wiele mniejsza od osób, które już pełnią rolę rodzin zastępczych.

Organ nadzorczy sugerował też projektodawcy zachowanie przez niego szczególnej rozwagi przy podejmowaniu decyzji o zamieszczeniu w rejestrze (a tym samym w wykazach) danych o stanie zdrowia (np. art. 38d ust. 3 pkt 10 ustawy o pieczy zastępczej), gdyż dane te stanowią dane osobowe szczególnej kategorii w rozumieniu art. 9 ust. 1 rozporządzenia 2016/679 i podlegają szczególnemu reżimowi przetwarzania ), jak również wnosił o przeprowadzenie przez projektodawcę krytycznej analizy zarówno katalogu podmiotów, którym dane z rejestru (i wykazów) mają być udostępniane, jak i zakresu danych z rejestru (i wykazów) podlegających udostępnieniu konkretnym podmiotom uprawnionym.

Organ właściwy w sprawie ochrony danych osobowych zwrócił także uwagę na blankietowe ujęcie w ówczesnym art. 38d ust. 10 ustawy o pieczy zastępczej (obecnie jest to art. 38d ust. 15 ustawy o pieczy zastępczej) kwestii aktualizacji danych zgromadzonych w rejestrze tak w odniesieniu do podmiotów zobowiązanych do dokonywania takiej aktualizacji, jak i trybu oraz częstotliwości jej dokonywania.

Jeśli dodać do powyższego, iż głównym zarzutem wobec (wówczas) projektu ustawy o zmianie ustawy o wspieraniu rodziny i systemie pieczy zastępczej oraz niektórych innych ustaw podniesionym w piśmie organu nadzorczego z dnia 13 października 2021 r. był brak w projektowanych przepisach nowelizujących ustawę o pieczy zastępczej jasnego i jednoznacznego określenia ról poszczególnych podmiotów w procesie przetwarzania danych osobowych w związku z tworzeniem i prowadzeniem rejestru (i wykazów), to - w kontekście, sygnalizowanych w piśmie Pana Rzecznika, zastrzeżeń zgłaszanych przez rodziny zastępcze - organ nadzorczy może jedynie stwierdzić, że jego uwagi do ww. projektu ustawy zostały uwzględnione tylko częściowo.

Gdyby projektodawca przy opracowywaniu ostatecznej wersji przepisów zmieniających ustawę o pieczy zastępczej w większym stopniu wziął pod uwagę sugestie organu właściwego w sprawie ochrony danych osobowych, jak stało się to choćby w przypadku katalogu podmiotów, którym dane osobowe z rejestru (i tym samym z wykazów) mają być udostępniane, to - najprawdopodobniej - wątpliwości rodzin zastępczych, o których pisze Pan Rzecznik, nie zaistniałyby. Choć bowiem, przewidziany w art. 38e ustawy o pieczy zastępczej, katalog podmiotów jest nadal obszerny, na co zwraca uwagę Pan Rzecznik w swoim piśmie, to - w następstwie uwag organu właściwego w sprawie ochrony danych osobowych z dnia 13 października 2021 r. do (wówczas) art. 38d ust. 11 ustawy o pieczy zastępczej - projektodawca w art. 38e w zw. z art. 38d ustawy o pieczy zastępczej uszczegółowił zakres danych podlegających udostępnieniu oraz wskazał cele udostępnienia danych poszczególnym podmiotom.

Wszakże przypomnieć należy, iż organ nadzorczy jest podmiotem niezależnym, pozostającym poza sferą administracji rządowej, a jego wpływ na proces legislacyjny jest ograniczony do opiniowania, przedłożonych mu, projektów aktów prawnych. Opinie organu właściwego w sprawie ochrony danych osobowych do tych projektów mają charakter ekspercki, a projektodawcy nie są zobligowani do przyjmowania, zgłaszanych w tych opiniach, zastrzeżeń.

III.554.2.2023

Załączniki:

Autor informacji: Łukasz Starzewski
Data publikacji:
Osoba udostępniająca: Łukasz Starzewski
Data:
Opis: Dochodzi odpowiedź PUODO
Operator: Łukasz Starzewski
Data:
Operator: Łukasz Starzewski