2 dni temu
Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, pismem z 10.7.2025 r. skierował do Ministra Klimatu i Środowiska formalne wystąpienie, w którym zwrócił się o podjęcie inicjatywy legislacyjnej prowadzącej do nowelizacji przepisów ustawy z 27.4.2001 r. – Prawo ochrony środowiska (t.j. Dz.U. z 2024 r. poz. 647; dalej: PrOchrŚrod). Postulat dotyczy art. 91 ust. 1-10 PrOchrŚrod, stanowiącego podstawę do uchwalania przez sejmiki wojewódzkie programów ochrony powietrza (POP), mających na celu poprawę jakości powietrza w strefach, w których stwierdzono przekroczenia dopuszczalnych poziomów zanieczyszczeń.
Ramy legalnego przetwarzania danych osobowych
Prezes UODO zwraca uwagę, iż w obecnym stanie prawnym PrOchrŚrod – mimo iż przyznaje sejmikom wojewódzkim kompetencję do przyjmowania programów ochrony powietrza – nie zawiera żadnych przepisów określających ramy legalnego przetwarzania danych osobowych w związku z realizacją tych programów. Brakuje bowiem zarówno wskazania dopuszczalnych kategorii danych osobowych, które mogą być gromadzone przez jednostki samorządu terytorialnego, jak i określenia źródeł, z których dane te mogą być pozyskiwane. W efekcie dochodzi do sytuacji, w której obowiązki wynikające z POP realizowane są w oparciu o akty prawa miejscowego, nieposiadające charakteru normatywnego w rozumieniu art. 6 ust. 1 lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO).
Problem ten uwidacznia się szczególnie w kontekście działań podejmowanych przez jednostki samorządu terytorialnego w ramach przeciwdziałania zjawisku ubóstwa energetycznego. W analizowanym przez UODO przykładzie – uchwale Sejmiku Województwa Mazowieckiego nr 204/23 z 21.11.2023 r. zmieniająca uchwałę w sprawie programu ochrony powietrza dla stref w województwie mazowieckim, w których zostały przekroczone poziomy dopuszczalne i docelowe substancji w powietrzu (Dz.Urz. Woj.Maz. z 2023 r. poz. 13001) – przewidziano możliwość pozyskiwania danych osobowych na potrzeby realizacji POP m.in. z inwentaryzacji budynków, bazy Centralnej Ewidencji Emisyjności Budynków (CEEB), dokumentacji ośrodków pomocy społecznej, a także z wywiadów środowiskowych przeprowadzanych przez pracowników socjalnych.
Rozbudowana możliwość wymiany danych
Treść załączników do uchwały, w tym szczególnie załącznika nr 5, wskazuje na rozbudowaną możliwość wymiany danych pomiędzy gminami, ośrodkami pomocy społecznej oraz innymi podmiotami posiadającymi wiedzę o sytuacji mieszkańców. Warto zaznaczyć, iż działania te często są powiązane z obowiązkami wynikającymi z innych aktów prawnych, w tym z ustawy z 21.11.2008 r. o wspieraniu termomodernizacji i remontów oraz o centralnej ewidencji emisyjności budynków (t.j. Dz.U. z 2024 r. poz. 1446). Ustawa ta wprowadziła m.in. mechanizmy wsparcia dla inwestycji w poprawę efektywności energetycznej oraz stworzyła podstawę do funkcjonowania bazy CEEB, stanowiącej jedno ze źródeł danych wykorzystywanych przez samorządy.
Jednak, jak wskazuje Prezes UODO, również w tym przypadku nie dochodzi do jednoznacznego uregulowania, które dane mogą być przetwarzane w konkretnych procedurach, a które wymagają odrębnych podstaw. Samo istnienie bazy ewidencyjnej lub instrumentu wsparcia finansowego nie upoważnia jednostek samorządu do pozyskiwania i przetwarzania danych osobowych bez wyraźnej i szczegółowej normy ustawowej.
W ocenie Prezesa UODO tego rodzaju praktyka – choć mająca na celu realizację istotnych społecznie zadań – nie może być uznana za zgodną z RODO, o ile brak jest jednoznacznej podstawy ustawowej. Ustawodawca, decydując o dopuszczalności przetwarzania danych osobowych przez organy administracji publicznej, powinien bowiem każdorazowo określić nie tylko cele przetwarzania, ale także zakres danych oraz źródła ich pozyskiwania. Uchwały sejmików wojewódzkich nie mogą w tym zakresie zastępować ustawy, ani też legalizować działań władczych względem obywateli. Zgodnie z art. 51 ust. 1 i 2 Konstytucji RP oraz art. 6 ust. 1 lit. e RODO, przetwarzanie danych osobowych przez władze publiczne może się odbywać wyłącznie na podstawie przepisu prawa powszechnie obowiązującego, przy czym musi ono być niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
Brak ustawowego doprecyzowania zasad przetwarzania danych
UODO podkreśla, iż brak ustawowego doprecyzowania zasad przetwarzania danych prowadzi do naruszenia podstawowych zasad ochrony danych osobowych, w tym zasady ograniczenia celu (art. 5 ust. 1 lit. b RODO), zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO) oraz zasady przejrzystości i prawa m.in do ochrony życia prywatnego, rodzinnego, czci i dobrego mienia (art. 47 Konstytucji RP) . Co więcej, dopuszczanie wymiany danych między podmiotami administracji publicznej bez formalnych podstaw może skutkować utratą zaufania społecznego do działań publicznych podejmowanych w zakresie ochrony środowiska, a także narażać organy samorządowe na odpowiedzialność administracyjną i prawną.
W swoim wystąpieniu Prezes UODO przywołuje również orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (w tym wyrok z 1.8.2022 r., C-184/20, Legalis), podkreślając, iż niezbędność przetwarzania danych musi być wykazana w sposób obiektywny i proporcjonalny. Przetwarzanie nie może być prowadzone „na wszelki wypadek”, ani w sposób nadmiarowy, w oderwaniu od precyzyjnie określonego celu i zakresu. W przeciwnym razie dochodzi do nieuprawnionego ograniczenia prawa do prywatności, chronionego zarówno przez Kartę praw podstawowych Unii Europejskiej (Dz.Urz. UE C z 2010 r. Nr 83, s. 389), jak i Konstytucję RP.
Postulat nowelizacji ustawy Prawo ochrony środowiska
W świetle powyższych argumentów Prezes UODO wnosi o pilne rozważenie nowelizacji PrOchrŚrod, w której należy określić szczegółowo dopuszczalne zakresy danych osobowych, cele ich przetwarzania oraz wskazać możliwe źródła ich pozyskiwania. Tylko w ten sposób można będzie zapewnić zgodność z przepisami rozporządzenia 2016/679 RODO, a jednocześnie ochronę praw osób fizycznych, których dane mają być przetwarzane w ramach realizacji polityk środowiskowych. W ocenie organu nadzorczego uregulowanie to powinno nastąpić na poziomie ustawy, jako aktu prawa powszechnie obowiązującego, a nie – jak dotychczas – być delegowane do aktów prawa miejscowego, których normatywność jest ograniczona i nie może stanowić samodzielnej podstawy ingerencji w sferę prywatności jednostki.
Na dzień przygotowania niniejszego opracowania nie są znane informacje o ewentualnym rozpoczęciu prac legislacyjnych w tym zakresie. Wystąpienie Prezesa UODO przewiduje jednak trzydziestodniowy termin na udzielenie odpowiedzi przez resort klimatu, co może stanowić początek szerszej dyskusji na temat potrzeby dostosowania krajowych przepisów sektorowych do wymagań ochrony danych osobowych oraz zasady rządów prawa.
