Do końca 2012 r. rady gmin muszą podjąć uchwały w sprawie metody ustalania opłaty za gospodarowanie odpadami komunalnymi oraz stawki opłaty. Nowelizacja ustawy o utrzymaniu czystości i porządku w gminach wprowadza trzy możliwości określenia podstawy opłaty. Chcielibyśmy skupić się na jednym, pozornie prozaicznym przepisie, którego ewentualne stosowanie budzi poważne wątpliwości z perspektywy regulacji o ochronie danych osobowych. Mianowicie, art. 6j ust. 1 pkt. 2 znowelizowanej ustawy mówi, iż w określonych w przepisach przypadkach, opłata za gospodarowanie odpadami komunalnymi stanowi iloczyn „ilości zużytej wody z danej nieruchomości” oraz stawki opłaty ustalonej w drodze uchwały rady gminy (zgodnie z art. 6k ust. 1 pkt. 2 ustawy). Zatem ustalenie konkretnej opłaty może oznaczać przetwarzanie (pozyskiwanie i wykorzystywanie) informacji o gospodarstwach domowych, a informacje tego rodzaju mogą stanowić dane osobowe, korzystające w Polsce z prawnej ochrony.
Dane osobowe są to bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Informacje na temat jednostkowego zużycia wody do takiej kategorii mogą się, w zależności od okoliczności, zaliczać. Przetwarzanie danych osobowych wymaga spełnienia przesłanek określonych przepisami ustawy o ochronie danych osobowych, w tym:
- zapewnienia prawnej podstawy przetwarzania danych,
- zabezpieczenia danych (w tym rozwiązań organizacyjnych),
- należytego poinformowania osoby, której dane dotyczą, o fakcie ich przetwarzania,
- ewentualne zgłoszenie zbioru do rejestracji GIODO.
Powyższe przesłanki uznawane są za cztery filary dopuszczalności przetwarzania danych. O ile, zachowanie bezpieczeństwa przetwarzania, poinformowanie oraz zgłoszenie są łatwo spełnialne, o tyle wokół I filaru – podstawy prawnej, toczy się główna dyskusja. Temat jest istotnie ważny, głównie z powodu, iż w przypadku braku spełnienia przesłanki stanowiącej I filar – cała procedura dotknięta jest tzw. „grzechem pierworodnym”. Oznacza to, że błąd popełniony w tym zakresie rzutuje na całą procedurę, obarczając ją wadliwością, co wiąże się także z sankcjami karnymi.
Przesłanki legalności przetwarzania danych wskazane zostały w art. 23 ustawy o ochronie danych osobowych. Podmiot przetwarzający dane powinien wykazać spełnienie jednej z poniższych przesłanek:
- zgoda osoby, której dane dotyczą,
- przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- konieczność wywiązania się z umowy lub podjęcia czynności przedumownych związanych z zobowiązaniem, którego stroną jest osoba, której dane dotyczą,
- przetwarzanie danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych i nie narusza praw i wolności osoby, której dane dotyczą.
Na gruncie przepisów ustawy o utrzymaniu czystości i porządku w gminach, zachodzi podstawowa wątpliwość, czy przedsiębiorstwo wodno -kanalizacyjne może przekazać przedmiotowe dane gminie. Poszukując podstawy takiego przekazania, pod uwagę brane są dwie przesłanki z art. 23 ustawy o ochronie danych osobowych: niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa oraz zgoda osoby, której dane dotyczą.
Zakresem pierwszej z nich objęte są sytuacje, w których źródłem uprawnienia bądź obowiązku jest bezpośrednio przepis prawa, a przetwarzanie danych jest niezbędne do ich realizacji. Nieznane są przepisy prawa nadające przedsiębiorstwu wodno – kanalizacyjnemu uprawnienie lub nakładające obowiązek, których realizacja wymaga przetwarzania danych osobowych poprzez ich przekazanie, w związku z czym uznać należy, iż art. 23 ust. 1 pkt. 2 ustawy o ochronie danych osobowych nie może stanowić podstawy przetwarzania przedmiotowych danych.
W związku z powyższym, bazując na doświadczeniach z branży energetycznej (smart grid) można twierdzić, iż takie przekazanie wymaga uzyskania zgody obywatela zajmującego dane gospodarstwo domowe, co może istotnie utrudnić praktykę. Mimo to, posiadanie zgody osoby, której dane dotyczą uważa się za rozwiązanie najbezpieczniejsze, przez co najczęściej stosowane w obrocie.
Chcąc zachować formalne warunki uzyskania zgody na przetwarzanie danych osobowych, administrator musi pamiętać o odpowiednim zawiadomieniu osoby, której przetwarzanie dotyczy oraz, że zgoda na przetwarzanie danych powinna być udzielona konkretnemu administratorowi danych i wyraźnie dotyczyć przetwarzania danych
W każdym wypadku wskazana jest odrębna analiza potrzeby spełnienia ww. wymogów. Tym niemniej zwracamy uwagę, że gospodarka komunalna może, zaskakująco, wchodzić w interakcję z normami ochrony prywatności. Należy spodziewać się stanowiska GIODO w tej sprawie, gdyż może ono ukształtować metodę działania.
Moim zdaniem uprawnieniem do przetwarzania danych osobowych może być podjęta uchwała Rady gminy zgodnie z art.6n pkt 2 ustawy o utrzymaniu czystości…
Na początku bardzo dziękujemy za ten głos w dyskusji.
Przyznam, że również rozważaliśmy wskazany wątek. Naszym zdaniem zachodzi jednak istotny dylemat na ile powszechnie obowiązujące przepisy acz wydane na poziomie lokalnym mogą wpływać i potencjalnie istotnie ograniczać prawa podstawowe wynikające wprost z Konstytucji RP. Powstaje obawa, iż ewentualne nadmierna ingerencja przepisów prawa miejscowego w sferę praw i wolności konstytucyjnych (mowa zwłaszcza o art. 47 Konstytucji RP gwarantującym ochronę życia prywatnego oraz art. 51 mówiącym o ochronie danych osobowych) będzie stanowić naruszenie obowiązującej w administracji zasady proporcjonalności. Wszak cel, o którego realizacji tutaj mowa, może zostać osiągnięta w sposób jak się wydaje równie efektywny bez podejmowania ingerencji w prawa podstawowe (obywatelskie).
Oczywiście, można sobie wyobrazić, iż ingerencja taka w każdym przypadku będzie miała różny charakter, siłę i natężenie, na przykład z uwagi na zakres zbieranych informacji, częstotliwość ich zbierania, czas retencji (dalszego przechowywania) danych, ewentualne dalsze przekazywanie danych czy ich wykorzystania dla innych celów niż pierwotnie zamierzone) będzie wpływał na ocenę konkretnego stanu faktycznego. Oznacza to, że każdy przypadek musi zostać rozpatrzony osobno, tym niemniej z każdym razem ocena zostanie dokonania przy zastosowaniu nieostrych pojęć, co rodzi ryzyka wskazane powyżej.