Przepisy ustawy o utrzymaniu czystości i porządku w gminach wymagają dopracowania, aby lepiej chronić dane osobowe obywateli – tak wynika z opinii Prezesa Urzędu Ochrony Danych Osobowych (UODO), Mirosława Wróblewskiego. Swoje stanowisko UODO przekazało Ministerstwu Klimatu i Środowiska, wskazując na istotne braki w projektowanej nowelizacji, dotyczącej weryfikacji deklaracji śmieciowych.
Nieprecyzyjne przepisy utrudniają ochronę danych
Szczególne wątpliwości budzi art. 6o ust. 1a ustawy, który ma umożliwić gminom weryfikację składanych przez właścicieli nieruchomości deklaracji dotyczących opłat za gospodarowanie odpadami komunalnymi. Dotychczasowe przepisy były niejednoznaczne i nie wskazywały jednoznacznej podstawy prawnej do pozyskiwania danych od podmiotów innych niż właściciele nieruchomości.
Nowa propozycja, choć stanowi krok w dobrym kierunku, wciąż nie spełnia wymagań RODO dotyczących legalności i przejrzystości przetwarzania danych osobowych. Jak zauważa UODO, przepis powinien jednoznacznie wskazywać:
- Kto i w jakim celu może pozyskiwać informacje potrzebne do weryfikacji deklaracji,
- Jakie konkretnie dane mogą być przetwarzane,
- Z jakich rejestrów mają być one pozyskiwane,
- Jakie środki zabezpieczenia zostaną zastosowane, aby zapobiec nadużyciom i wyciekom danych.
Nadmierny zakres przetwarzanych danych
Obecny projekt przewiduje przetwarzanie szerokiego zakresu danych osobowych, takich jak imię, nazwisko, numer PESEL, adres zamieszkania, informacje o meldunku stałym i czasowym, a także zużycie wody na nieruchomości. UODO zwraca uwagę, że do skutecznej weryfikacji wystarczyłaby jedynie informacja o liczbie osób zamieszkałych pod danym adresem. Tak szeroki katalog danych stwarza ryzyko nadużyć i jest nieproporcjonalny do celu regulacji.
Brak zabezpieczeń i precyzyjnych procedur
Eksperci UODO wskazują również na inne istotne braki w nowelizacji. Projektowane przepisy:
- Nie określają okresu przechowywania danych, co może prowadzić do ich nadmiernej retencji,
- Nie wskazują szczegółowych procedur weryfikacji deklaracji, co rodzi wątpliwości dotyczące sposobu przetwarzania danych,
- Nie przewidują środków zabezpieczenia danych, w tym ochrony przed dostępem osób nieuprawnionych, utratą informacji czy cyberatakami.
Brak przeprowadzenia testu prywatności, który zgodnie z art. 35 RODO powinien ocenić wpływ nowelizacji na ochronę danych, stanowi dodatkowy problem.