Projekt ustawy o bonie senioralnym, mający na celu wsparcie rodzin w opiece nad osobami starszymi, budzi poważne zastrzeżenia w kontekście ochrony danych osobowych. Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, skierował swoje uwagi do minister ds. polityki senioralnej, Marzeny Okle-Drewnowicz, zwracając uwagę na potencjalne naruszenia w zakresie przetwarzania danych.
Zakres przetwarzania danych
Projekt ustawy zakłada szerokie przetwarzanie danych osobowych seniorów oraz ich rodzin, w tym danych szczególnych kategorii, takich jak informacje o stanie zdrowia. Wskazane przepisy nie przewidują jednak przeprowadzenia obowiązkowego testu prywatności ani oceny skutków dla ochrony danych osobowych (DPIA), co stanowi podstawowy wymóg wynikający z RODO.
Przykładem nadmiarowości w przetwarzaniu danych jest gromadzenie daty urodzenia seniora, mimo że numer PESEL zawiera tę informację. Podobna sytuacja dotyczy daty urodzenia osoby składającej wniosek, która nie wpływa na przyznanie świadczenia, a mimo to miałaby być pozyskiwana.
Kwestionariusz oceny sytuacji seniora
Projekt ustawy wprowadza kwestionariusz oceny sytuacji seniora, zawierający pytania dotyczące samodzielności w codziennych czynnościach. Jednak brak precyzyjnych zapisów uniemożliwia ustalenie, jakie dane będą faktycznie gromadzone. Nie jest jasne, czy kwestionariusz obejmie dane dotyczące zdrowia, które wymagają szczególnej ochrony zgodnie z przepisami RODO.
Przepływ informacji i jawność danych
Kontrowersje budzi także przepływ danych pomiędzy podmiotami ustalającymi zakres świadczeń a tymi, które realizują bon senioralny. Dodatkowo, projekt przewiduje publikację danych podmiotów realizujących usługi w Biuletynie Informacji Publicznej (BIP), co w niektórych przypadkach oznacza ujawnienie danych osób fizycznych, w tym ich adresów. Cel tej operacji nie został precyzyjnie określony w ustawie.
Rekomendacje Prezesa UODO
Prezes UODO podkreśla, że przetwarzanie danych powinno być ograniczone do niezbędnego minimum, jasno określonego przepisami prawa i powiązanego z celem ustawy. Zaleca wprowadzenie:
- Obowiązkowego testu prywatności na etapie legislacyjnym.
- Określenia dokładnych procedur pozyskiwania danych.
- Zastosowania środków zapewniających poufność, kontrolę i przejrzystość przetwarzania.