Zmiany w KPA wynikające z ustawy wdrażającej RODO

Rozporządzenie RODO spowodowało konieczność wprowadzenia licznych zmian w krajowym porządku prawnym. Ustawa o zmianie ustaw w związku z RODO objęła wiele aktów, w tym Kodeks postępowania administracyjnego. Zmiany te dotyczą głównie wymagań i obowiązków administratorów danych zgodnie z postanowieniami RODO.

Tematyka: RODO, KPA, ochrona danych osobowych, zmiany w prawie, administrator danych, informacje, dokumenty urzędowe, przetwarzanie danych, obowiązki, postępowanie administracyjne

Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., dalej jako: RODO) spowodowało
konieczność wprowadzenia licznych zmian w krajowym porządku prawnym. W celu wdrożenia zmian
uchwalono ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia
2016/679 (Dz.U. z 2019 r. poz. 730). Zmiany objęły również wiele ustaw regulujących funkcjonowanie
administracji publicznej, ponieważ zgodnie z motywem 1 RODO, ochrona osób fizycznych w związku
z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Ustawodawca uznał za zasadne
wprowadzenie zmian w Kodeksie postępowania administracyjnego (tj. Dz.U. z 2018 r. poz. 2096 ze zm., dalej
jako: KPA), który jest aktem kodyfikującym administracyjne prawo proceduralne. Przepisy te będą odnosiły
się do wymagań i obowiązków ciążących na administratorach danych wynikających z RODO.
Konieczność znowelizowania KPA uzasadniona jest faktem, że jest to akt, którego przepisy będą odnosiły się do
wymagań i obowiązków ciążących na administratorach danych wynikających z RODO. Wskazano, że intencją
ustawodawcy jest, aby stosowanie obowiązków wynikających z RODO odbywało się jednocześnie z postępowaniem
według przewidzianych w KPA procedur administracyjnych. Mimo że przedmiotem postępowań uregulowanych
w KPA zazwyczaj nie jest ochrona danych osobowych lecz realizacja obowiązków nałożonych na organ administracji
publicznej w postaci wydania decyzji administracyjnej, to w toku postępowania administracyjnego organy
administracji publicznej winny przestrzegać przepisów dotyczących ochrony danych osobowych i realizować
obowiązki wynikające z przepisów o ochronie danych osobowych.
Dodano art. 2a KPA, który wskazuje, że Kodeks normuje również sposób przekazywania w toku postępowań
informacji, o których mowa w art. 13 ust. 1 i 2 RODO, czyli informacji podawanych w przypadku zbierania danych
od osoby, której te dane dotyczą. Przekazywanie takich informacji odbywa się niezależnie od obowiązków organów
administracji publicznej przewidzianych w KPA i nie ma wpływu na przebieg i wynik postępowań, o których mowa
w art. 1 i art. 2 KPA. Regulacja ta wskazuje, że w określonych sytuacjach organy administracji publicznej będą
zobowiązane realizować art. 13 RODO i jednoznacznie podkreśla odrębność przepisów RODO od postępowania
administracyjnego. W dotychczasowym stanie prawnym funkcjonował taki model ochrony danych osobowych
i w ocenie ustawodawcy wejście w życie RODO nie zmienia dotychczasowej praktyki stosowania prawa.
Jednocześnie wyjaśniono, że nie wprowadza się regulacji dotyczących spełniania obowiązków informacyjnych
w RODO w przepisach rozdziału „Zasady ogólne” KPA, gdyż przepisy tego rozdziału, a w szczególności regulacje
zawarte w art. 9 i 10 KPA, realizują uprawnienia stron postępowania i dotyczą stricte przedmiotu postępowania.
Organ administracji publicznej z uwagi na przetwarzanie danych na podstawie art. 6 ust. 1 lit. c RODO nie będzie
zobowiązany do informowania stron postępowania o prawie do wniesienia sprzeciwu, o prawie do
przenoszenia danych, o prawie do zapomnienia, a także o prawie do cofnięcia zgody na przetwarzanie
danych osobowych, ponieważ korzystanie z tych praw zostało na gruncie RODO wyłączone w zakresie, w jakim
podstawą przetwarzania danych osobowych jest obowiązek ciążący na administratorze wynikający z przepisów
prawa.
Wprowadzone w KPA przepisy wskazujące czas, w którym ma nastąpić spełnienie obowiązku informacyjnego,
o którym mowa w art. 13 ust. 1 i 2 RODO, uwzględniają specyfikę działań organów oraz styczność tych organów ze
stronami postępowania w okolicznościach prowadzenia postępowania administracyjnego. Pozwoli to na
zrealizowanie celów RODO, a jednocześnie nie będzie wiązało się z dodatkowymi obowiązkami dla organów.
Realizacja obowiązku, o którym mowa w art. 13 RODO następuje co do zasady przy pierwszej czynności
organu skierowanej do osoby fizycznej, chyba, że jest już ona w posiadaniu tych informacji np. w formularzu który
ściągnęła ze strony internetowej i go wypełniła w celu przesłania do organu.
Zmiany proponowanie w art. 73 KPA oraz art. 236 KPA mają na celu realizacje artykułu 86 RODO, zgodnie z którym
dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot
prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub
podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten
organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony
danych osobowych na mocy RODO.
Zmiany weszły w życie 4.5.2019 r.

Nowelizacje KPA wprowadziły m.in. obowiązek przekazywania informacji zgodnie z art. 13 RODO oraz regulacje dotyczące ujawniania danych osobowych w dokumentach urzędowych. Zmiany w KPA mają na celu zgodność z przepisami RODO i nie nakładają dodatkowych obciążeń na organy administracji publicznej.