Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła prośba o informację w związku z problemem przekazywania danych osobowych obywateli polskich gromadzonych w Centralnej Ewidencji Pojazdów i Kierowców niemieckim instytucjom.
W odpowiedzi Generalny Inspektor poinformował, że ustawa o ochronie danych osobowych stosuje się do:
- podmiotów niepublicznych realizujących zadania publiczne,
- osób fizycznych i osób prawnych oraz jednostek organizacyjnych nie będących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Powołał również art. 7 pkt 7 ustawy o ochronie danych osobowych, zgodnie z którym przez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego.
Oznacza to m.in., iż określone ustawą warunki przekazywania danych do państwa trzeciego nie znajdują zastosowania wobec przekazywania danych osobowych do państwa członkowskiego Unii Europejskiej. W tym zakresie, jakiekolwiek organy kraju członkowskiego UE - co do zasady - są traktowane jak podmioty polskie.
Generalny Inspektor wskazał, że ustawa o ochronie danych osobowych, określa zasady postępowania przy przetwarzaniu danych, ujmując je w formę podstawowych obowiązków administratora danych - określa ogólne zasady przetwarzania i ochrony danych osobowych, zaś skonkretyzowanie tychże zasad ma miejsce w szczególnych wobec jej regulacji przepisach prawa. Dlatego, jeżeli istnieją szczególne przepisy prawa regulujące przetwarzanie danych osobowych (w tym udostępnianie, czy pozyskiwanie), to stosuje się je w pierwszej kolejności. Ponadto przypomniał, że zgodnie z art. 5 ustawy o ochronie danych osobowych, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Wskazał, że podmioty publiczne działają na podstawie przepisów prawa, w ramach kompetencji nadanych im tymi przepisami.
Zgodnie z przepisami ustawy o ochronie danych osobowych istotne jest, aby administrator danych legitymował się jedną z przesłanek legalności przetwarzania, w tym udostępnienia danych osobowych, które dla danych tzw. zwykłych (jak np. imię, nazwisko, adres zamieszkania) określone zostały w art. 23 ust. 1 pkt 1-5, zaś katalog danych tzw. szczególnie chronionych zawiera art. 27 ust. 1 – w art. 27 ust. 2 pkt 1-10 ustawy. Dla podmiotów publicznych istotne są te, określone w art. 23 ust. 1 pkt 2 i art. 27 ust. 2 pkt 2 ustawy. Generalny Inspektor podkreślił też, że jedną z przesłanek dopuszczalności przetwarzania danych, określoną w art. 23 ust. 1 pkt 2 ustawy, jest m.in. niezbędność przetwarzania dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
W przedmiotowej sprawie dotyczącej udostępnienia danych osobowych obywateli polskich zgromadzonych w Centralnej Ewidencji Pojazdów i Kierowców, zastosowanie mają przepisy ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym (Dz. U. 2005 r. Nr 108, poz. 908 z późn. zm.). Jak uznał Generalny Inspektor, ustawa ta stanowi o zasadach udostępnienia danych w zarówno z Centralnej Ewidencji Pojazdów (w Dziale III, Rozdziale 2a tej ustawy) jak i Centralnej Ewidencji Kierowców (w Dziale IV, Rozdziale 1a). Zgodnie z artykułem 80c ust. 1 powyższego aktu prawnego, dane lub informacje zgromadzone w Centralnej Ewidencji Pojazdów udostępnia się, o ile są one niezbędne do realizacji ustawowych zadań określonemu w tym przepisie katalogowi podmiotów (z zastrzeżeniem ust. 2).
Ponadto zgodnie z ust. 4 ww. artykułu, minister właściwy do spraw wewnętrznych może udostępnić dane lub informacje zgromadzone w ewidencji innym podmiotom (niż wymienione w ust. 1-3), w tym osobom fizycznym, osobom prawnym lub jednostkom organizacyjnym nieposiadającym osobowości prawnej, jeżeli wykażą swój uzasadniony interes. Z kolei art. 80c w ust. 6a stanowi, iż dane lub informacje zgromadzone w ewidencji mogą być udostępniane podmiotom zagranicznym w celu wypełnienia postanowień ratyfikowanych przez Rzeczpospolitą Polską umów międzynarodowych, a także wykonania aktu prawa stanowionego przez organizację międzynarodową, której Rzeczpospolita Polska jest członkiem.
Tryb i sposób udostępniania danych określają ratyfikowane przez Rzeczpospolitą Polską umowy międzynarodowe, akty prawa stanowionego przez organizację międzynarodową, której Rzeczpospolita Polska jest członkiem lub porozumienia zawarte pomiędzy właściwymi ministrami państw członkowskich Unii Europejskiej. Generalny Inspektor wskazał również, że odnośnie Centralnej Ewidencji Kierowców o przedmiotowych kwestiach stanowi art. 100c ustawy Prawo o ruchu drogowym, w szczególności ust. 1 (zawierający katalog podmiotów, którym dane mogą być udostępniane), ust. 4 (traktujący o wnioskowym trybie udostępniania danych) i ust. 4a - o uprawnieniu do udostępnienia danych podmiotom zagranicznym w celu wypełnienia postanowień ratyfikowanych przez Rzeczpospolitą Polską umów międzynarodowych, a także wykonania aktu prawa stanowionego przez organizację międzynarodową, której Rzeczpospolita Polska jest członkiem.
Wspomniał również o Konwencji o pomocy prawnej w sprawach karnych pomiędzy państwami członkowskimi Unii Europejskiej, sporządzonej w Brukseli dnia 29 maja 2000 r. (Dz.U. 2007 r. Nr 135, poz. 950), czy Decyzji Ramowej Rady 2008/977/WSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (Dz.U.UE.L.2008.350.60). Podkreślił jednak, iż ocena legalności przetwarzania – w tym udostępnienia - danych osobowych osoby fizycznej, zawsze powinna następować w odniesieniu do skonkretyzowanych okoliczności. Zgodnie ze statutem Centralnego Ośrodka Informatyki - stanowiącym załącznik do zarządzenia Nr 48 Ministra Spraw Wewnętrznych i Administracji z dnia 26 listopada 2010 w sprawie utworzenia i nadania statutu instytucji gospodarki budżetowej pod nazwą „Centralny Ośrodek Informatyki" (Dz.Urz.MSW.2010.15.74) – wydanego na podstawie art. 23 ust. 2 pkt 1 i art. 26 ust. 1 i 2 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Nr 157, poz. 1240 z późn. zm.), Centralny Ośrodek jest instytucją gospodarki budżetowej, którego przedmiotem podstawowej działalności jest m.in. wykonywanie czynności materialno-technicznych związanych z udostępnieniem danych z Centralnej Ewidencji Pojazdów oraz Centralnej Ewidencji Kierowców.
Źródło: "Sprawozdanie z działalności GIODO w 2012 roku", GIODO, 2013
