GIODO nie zatrzyma wydawania Kart Warszawiaka, 21.02.2014 r.
Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
Wytworzył informację: | Małgorzata Kałużyńska-Jasak | 2014-02-21 |
Wprowadził‚ informację: | Rafał Kreusch | 2014-02-21 14:45:06 |
Ostatnio modyfikował: | Rafał Kreusch | 2014-02-21 14:45:52 |
GIODO zadeklarował, że nie zatrzyma wydawania Kart Warszawiaka, choć kontrola potwierdziła naruszenie przepisów dotyczących ochrony danych osobowych.
Wymiana danych między warszawskim ratuszem, ZTM i Ministerstwem Finansów dokonywana na potrzeby wydawania Kart Warszawiaka, jest bezprawna. To jedno z głównych ustaleń kontroli prowadzonej przez inspektorów GIODO w Zarządzie Transportu Miejskiego w Warszawie (ZTM), Urzędzie Miasta Stołecznego Warszawy i Ministerstwie Finansów.
Jej wyniki dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przedstawił i skomentował podczas konferencji prasowej 21 lutego 2014 r.
Kontrola GIODO wykazała że miasto, choć nie ma do tego podstawy prawnej, zbiera dane dotyczące miejsca rozliczania podatku PIT, a resort finansów udziela tej informacji ratuszowi, choć w przepisach prawa również nie ma do tego podstaw. Nie można za nią bowiem uznać ani uchwały rady miasta, ani tzw. umowy powierzenia przetwarzania danych zawartej między stołecznym Urzędem Miasta a resortem finansów.
Kontrola GIODO wykazała, że obie instytucje zawarły taką umowę w celu weryfikacji uprawnień osób ubiegających się o Kartę Warszawiaka. Na tej podstawie ZTM przekazał do Ministerstwa Finansów plik z danymi posiadaczy spersonalizowanej Warszawskiej Karty Miejskiej w wieku od 18 do 70 lat, a resort, korzystając z informacji zawartych w Krajowej Ewidencji Podatników, uzupełnił je o informacje, czy dana osoba posiada adres miejsca zamieszkania na terenie m.st. Warszawy poprzez wskazanie „tak” lub „nie” ewentualnie zaznaczając, że zmarła. W opinii GIODO tej operacji wymiany danych nie można nazwać powierzeniem ich przetwarzania. Powierzenie przetwarzania danych polega bowiem na tym, że jakaś instytucja powierza firmie zewnętrznej przetwarzanie danych osobowych zawartych w swoim zbiorze, ale w zakresie i celu, do którego sama jest uprawniona. Przez takie działanie realizowany może być jedynie cel administratora danych, nie zaś cel podmiotu, któremu dane się powierza. W przypadku danych przekazywanych w związku z potwierdzaniem uprawnień na potrzeby Karty Warszawiaka faktycznie dochodziło do przekazania danych. – To, co zrobiło miasto, było właściwie przekazaniem komuś innemu, dla innych celów, swojej bazy – mówił dr Wojciech Rafał Wiewiórowski. Przyznał, że podobnie postąpiło Ministerstwo Finansów.
GIODO wskazywał, że przepisy ustawy o zasadach ewidencji i identyfikacji podatników i płatników stanowią, w jakim celu prowadzony jest Centralny Rejestr Podmiotów – Krajowa Ewidencja Podatników, jakie podmioty mają do niego dostęp oraz jakim podmiotom dane z tego rejestru mogą być udostępniane. Dokładnie wyjaśniał, dlaczego nie mogą być one uznane za prawidłową podstawę uprawniającą Ministerstwo Finansów do przekazania danych z Krajowej Ewidencji Podatników jednostce samorządu terytorialnego na inne potrzeby niż prowadzenie postępowania podatkowego.
– W żadnym z wymienionych w ustawie celu nie mieści się dokonywanie weryfikacji danych na zlecenie innych podmiotów – tłumaczył dr Wojciech Rafał Wiewiórowski. Wskazywał, że nie jest wykluczone, że doszło również do naruszenia tajemnicy skarbowej.
Kontrola GIODO wykazała też, że poważnego naruszenia prawa dopuścił się też ZTM w Warszawie, który 21 listopada 2013 r., jeszcze przed zawarciem umowy między Urzędem Miasta a resortem finansów, przekazał do ministerstwa ową bazę danych posiadaczy spersonalizowanych kart miejskich w wieku od 18 do 70 lat. Zrobiono to również, zanim prezydent Warszawy formalnie upoważniła ZTM do weryfikowania uprawnień osób ubiegających się o Kartę Warszawiaka. Dotyczyło to wszystkich zarejestrowanych klientów ZTM, a nie tylko tych zainteresowanych Kartami. Trudno więc mówić, że podstawą udostępnienia danych była zgoda osób, którą GIODO podał w wątpliwość jako przesłankę legalizującą przetwarzanie danych osobowych na potrzeby Karty Warszawiaka.
GIODO poinformował, że w związku ze stwierdzonymi naruszeniami rozpocznie niebawem postępowania administracyjne wobec ratusza, ZTM i Ministerstwa Finansów. Będą one miały na celu przywrócenie stanu zgodnego z prawem. – Zadaniem, które ma obecnie Generalny Inspektor Ochrony Danych Osobowych, jest doprowadzenie sytuacji do zgodności z prawem. Oczywiście może to nastąpić przez najdalej idącą decyzję, jaką jest zakaz przetwarzania danych, aczkolwiek to nie oznacza wcale, i chciałem to bardzo wyraźnie podkreślić, wstrzymania działań dotyczących Karty Warszawiaka – zadeklarował dr Wojciech Rafał Wiewiórowski.
Ponadto GIODO rozważa ewentualne powiadomienie odpowiednich organów, np. RPO, o swoich wątpliwościach dotyczących tego, czy w ogóle może istnieć karta skierowana tylko do mieszkańców danego miasta i czy nie prowadzi to do niezgodnego z prawem europejskim ograniczania swobodnego przepływu osób.
Pełny zapis dźwiękowy z konferencji dostępny jest poniżej.