Bochenek Michał, Ochrona danych osobowych w pomocy społecznej w pytaniach i odpowiedziach

Od 25.05.2018 r. w krajowym porządku prawnym zastosowanie znajduje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie w sprawie danych osobowych) (Dz.Urz. UE L 119, s. 1, ze zm.), zwane dalej także „RODO” lub „rozporządzenie”. W konsekwencji m.in. jednostki organizacyjne pomocy społecznej mają obowiązek zapewnienia skutecznego stosowania przepisów RODO. W tym celu konieczne stało się, poza uchwaleniem nowej ustawy z 10.05.2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.), dokonanie licznych zmian w regulacjach wewnętrznych JOPS, np. w politykach bezpieczeństwa informacji.

Niewątpliwie w pomocy społecznej przetwarza się dane osobowe osób fizycznych w bardzo rozległym zakresie. Będą to nie tylko dane dotyczące imienia, nazwiska, miejsca zamieszkania czy numeru PESEL. Często przetwarzane będą tzw. dane wrażliwe (np. dotyczące stanu zdrowia, sytuacji majątkowej, uzależnień), wymienione w art. 9 ust. 1 RODO. Mogą to być: dane osobowe ujawniające pochodzenie rasowe lub etniczne (np. pomoc dla uchodźców; trudności w integracji cudzoziemców, którzy uzyskali w Rzeczypospolitej Polskiej status uchodźcy, ochronę uzupełniającą lub zezwolenie na pobyt czasowy udzielone w związku z okolicznością, o której mowa w art. 159 ust. 1 pkt 1 lit. c lub d u.c., dane dotyczące zdrowia (zob. np. art. 7 pkt 6 u.p.s.; pomocy społecznej udziela się osobom i rodzinom w szczególności z powodu długotrwałej lub ciężkiej choroby), dane dotyczące sytuacji ekonomicznej, bytowej, finansowej, zawodowej. Wystarczy wskazać na art. 7 u.p.s., aby przekonać się, jakie dane przetwarza się np. w ośrodku pomocy społecznej. Pomocy społecznej udziela się osobom i rodzinom w szczególności z powodu: ubóstwa; sieroctwa; bezdomności; bezrobocia; niepełnosprawności; długotrwałej lub ciężkiej choroby; przemocy w rodzinie; potrzeby ochrony ofiar handlu ludźmi; potrzeby ochrony macierzyństwa lub wielodzietności; bezradności w sprawach opiekuńczo-wychowawczych i prowadzenia gospodarstwa domowego, zwłaszcza w rodzinach niepełnych lub wielodzietnych; trudności w integracji cudzoziemców, którzy uzyskali w Rzeczypospolitej Polskiej status uchodźcy, ochronę uzupełniającą lub zezwolenie na pobyt czasowy udzielone w związku z okolicznością, o której mowa w art. 159 ust. 1 pkt 1 lit. c lub d u.c.; trudności w przystosowaniu do życia po zwolnieniu z zakładu karnego; alkoholizmu lub narkomanii; zdarzenia losowego i sytuacji kryzysowej; klęski żywiołowej lub ekologicznej.

Regulowanie w JOPS – w politykach bezpieczeństwa informacji – zasad przetwarzania danych osobowych trzeba dokonywać ad casum. Na poziomie wewnętrznym JOPS warto uwzględnić:

Nie można nie zauważyć, że duży zakres spraw z zakresu pomocy społecznej wymaga zastosowania procedury administracyjnej. Stosownie do art. 106 ust. 1 u.p.s. przyznanie świadczeń z pomocy społecznej następuje w formie decyzji administracyjnej. Wyjątki od tej zasady to udzielenie świadczeń w postaci interwencji kryzysowej, pracy socjalnej, poradnictwa, uczestnictwa w zajęciach klubu samopomocy, klubu samopomocy dla osób z zaburzeniami psychicznymi, schronienia w formie ogrzewalni i noclegowni, sprawienia pogrzebu, a także przyznanie biletu kredytowanego. Odnośnie do przetwarzania danych osobowych w postępowaniach administracyjnych warto zacytować zachowujący zdaniem autora aktualność pogląd wyrażony w wyroku NSA z 13.12.2011 r., I OSK 521/11, LEX nr 1149385, w którym wskazano, że „(...) mimo braku w przepisach k.p.a. upoważnienia do przetwarzania danych osobowych, noszącego cechy upoważnienia o charakterze generalnym, należy przyjąć, że przetwarzanie danych osobowych przez organ administracji dla celów prowadzonego postępowania jest niezbędne dla wykonania uprawnień i obowiązków przyznanych organowi w przepisach k.p.a. Tym samym takie przetwarzanie danych jest niezbędne dla wykonania uprawnień organu administracji publicznej w znaczeniu, jakie temu pojęciu nadaje przepis art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych i jako takie jest działaniem dopuszczalnym”. Aktualnie taka podstawa znajduje się w art. 6 ust. 1 lit. c RODO. Powyższe oznacza, że organ nie musi żądać od strony postępowania administracyjnego udzielenia zgody na przetwarzanie danych osobowych w toku postępowania, jak również, że nie ma potrzeby tworzenia szczególnych podstaw prawnych w ustawach pozwalających na przetwarzanie danych w toku postępowań administracyjnych. Dodatkowo w przypadku, gdy oprócz art. 63 k.p.a. przepisy konkretnej ustawy prawa materialnego, np. ustawa o pomocy społecznej, ustawa o świadczeniach rodzinnych zawierają dodatkowy katalog danych, który ma być dołączony do wniosku, nie jest konieczne dodawanie odrębnego blankietowego przepisu, że organ, rozpatrując ten wniosek, przetwarza dane osobowe, które zawarte są we wniosku. W przypadku prowadzonego już postępowania administracyjnego, w tym postępowania wyjaśniającego, zgodnie z Kodeksem postępowania administracyjnego organ, dążąc do wyjaśnienia sprawy, zbiera dowody. Stanowi to wystarczającą przesłankę do przetwarzania danych osobowych stron i uczestników postępowania.

Trzeba też zauważyć częstą praktykę powierzania przez JOPS realizacji zadań podmiotom zewnętrznym. Zgodnie z art. 25 ust. 1 u.p.s. organy administracji rządowej i samorządowej mogą zlecać realizację zadania z zakresu pomocy społecznej, udzielając dotacji na finansowanie lub dofinansowanie realizacji zleconego zadania np. organizacjom pozarządowym. Zlecenie realizacji zadania z zakresu pomocy społecznej odbywa się po uprzednim przeprowadzeniu konkursu ofert. W kontekście przetwarzania danych osobowych podmiotem odpowiedzialnym za przetwarzanie tych danych jest podmiot przyjmujący zlecenie. W sytuacji, gdy podmiot ten udziela świadczeń w prowadzonej przez siebie jednostce organizacyjnej pomocy społecznej (pojęcie zdefiniowane w art. 6 pkt 5 u.p.s.), administratorem danych osobowych jest ta jednostka organizacyjna, np. dom pomocy społecznej, ośrodek wsparcia. Podmiot przyjmujący zlecenie realizacji zadania z zakresu pomocy społecznej jest niezależny od organu udzielającego zlecenia, z tego względu jest odrębnym administratorem danych osobowych.

Z uwagi na szeroki krąg podmiotów przetwarzających dane osobowe osób korzystających ze świadczeń pomocy społecznej, ale też innych osób, do których ustawa ma zastosowanie, np. osób ponoszących odpłaty za pobyt innej osoby w domu pomocy społecznej, osób korzystających z usług w placówce zapewniającej całodobową opiekę osobom niepełnosprawnym, przewlekle chorym lub osobom w podeszłym wieku, trzeba stosować upoważnienia dotyczące przetwarzania danych osobowych, mające zastosowanie do wszystkich podmiotów wykonujących zadania wynikające z ustawy o pomocy społecznej, wskazanych w art. 2 ust. 2 u.p.s.

Ogólne rozporządzenie o ochronie danych umożliwia przyjęcie przez państwo członkowskie ograniczeń zakresu obowiązków i praw przewidzianych w niektórych przepisach rozporządzenia, m.in. w dziedzinie zabezpieczenia społecznego. Pożądane jest tym samym umożliwienie realizacji obowiązku informacyjnego, o którym mowa w art. 13 ust. 1 i 2 RODO, w celu udzielania świadczeń, o których mowa w art. 106 ust. 2 u.p.s. oraz udzielania usług w ośrodkach wsparcia, rodzinnych domach pomocy, mieszkaniach chronionych i domach pomocy społecznej poprzez umieszczenie informacji o przetwarzaniu danych osobowych w widocznym miejscu w budynku, w którym udzielane są świadczenia. Taki sposób realizacji obowiązków informacyjnych będzie więc dotyczył udzielania świadczeń, które nie są przyznawane decyzją administracyjną oraz świadczeń w formie usług udzielanych w jednostkach organizacyjnych przez te jednostki.

Zgodnie z motywem 1 RODO ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 KPP oraz art. 16 ust. 1 TFUE stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Artykuł 8 KPP wskazuje natomiast, że każdy ma prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu. Niniejsza publikacja będzie zatem wymierną pomocą w realizacji RODO w JOPS.