RODO dla samorządu i administracji. Wzory dokumentów z objaśnieniami
Nowa ustawa o ochronie danych osobowych z uzasadnieniem rządowym
RODO – OCHRONA DANYCH OSOBOWYCH PRZEWODNIK PO ZMIANACH z nową Ustawą Ochrona danych osobowychWejście w życie nowych regulacji dotyczących ochrony danych osobowych może powodować wątpliwości w zakresie udostępniania informacji publicznej przez organy samorządu. Potrzeba ochrony danych osobowych nie może jednak prowadzić do wyłączenia prawa do informacji publicznej. W praktyce udostępnienie takich informacji powinno polegać na przekazaniu tzw. informacji zanonimizowanej.
System ochrony danych osobowych, którego podstawowym aktem jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), traktuje ochronę danych osobowych jako jedno z tzw. praw podstawowych. Chodzi tu przede wszystkim o zakres możliwości przetwarzania tych danych. Celem regulacji o dostępie do informacji publicznej jest natomiast zapewnienie możliwości kontroli działania organów administracji publicznej oraz wydatkowania środków publicznych.
reklama
reklama
Różne cele obu regulacji mogą prowadzić do konfliktu w przypadku, gdy udostępniane w trybie informacji publicznej dane zawierają jednocześnie dane osobowe chronione przez RODO.
Zasady ochrony danych w RODO
Istotny dla rozstrzygnięcia potencjalnego konfliktu wartości i celów może być zapis pkt 4 preambuły RODO. Formułuje on zasadę, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym. W szczególności należy je postrzegać w kontekście jego funkcji społecznej i wyważać względem innych praw podstawowych w myśl zasady proporcjonalności.
RODO nie może więc naruszać praw, wolności i zasad uznanych w Karcie praw podstawowych (dalej: Karta) - w tym m.in. wolności wypowiedzi i informacji. W art. 11 Karty, jako prawo podstawowe wskazuje się prawo do wolności wypowiedzi. Prawo to obejmuje wolność posiadania poglądów oraz otrzymywania i przekazywania informacji. Taki zapis jest interpretowany m.in. jako uznanie za prawo podstawowe prawa do informacji publicznej. Argument jest dodatkowo wzmocniony faktem, że prawo do informacji publicznej w zakresie dokumentów instytucji, organów i jednostek UE zostało wprost wyrażone w art. 42 Karty.
|
Wejście w życie przepisów RODO nie spowoduje wyłączenia regulacji wspólnotowych czy krajowych, zawierających gwarancje dostępu do informacji publicznej. Prawo do informacji publicznej należy uznawać również za prawo podstawowe. Konieczne jest zatem takie interpretowanie przepisów, które zapewni możliwość korzystania z obu praw. |
Ochrona danych osobowych w przepisach krajowych
W Polsce zasady i tryb dostępu do informacji publicznej zostały uregulowane w ustawie z 6 września 2001 r. o dostępie do informacji publicznej (dalej: u.d.i.p.). Przepisem rozstrzygającym ewentualną kolizję może być art. 1 ust. 2 u.d.i.p. Według niego przepisy u.d.i.p. nie naruszają przepisów innych ustaw, określających odmienne zasady i tryb dostępu do informacji będących informacjami publicznymi. Przy sprawach dotyczących rozpatrywania wniosków o udostępnienie dokumentów zawierających informację publiczną ukształtował się pogląd orzecznictwa, że sam fakt istnienia w dokumencie takich danych nie może skutkować stosowaniem ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zamiast regulacji zawartych w u.d.i.p. WSA w Poznaniu w wyroku z 6 kwietnia 2017 r. (sygn. akt IV SA/Po 47/17) uznał nawet, że w przypadku takiej kolizji pierwszeństwo należy się prawu do informacji publicznej.
|
Z ORZECZNICTWA Relacje między prawem do informacji oraz prywatnością osoby fizycznej, obejmującą również dane osobowe, są określane tylko na podstawie art. 5 ust. 2 u.d.i.p. Wyrok WSA z 25 sierpnia 2016 r., sygn. akt II SA/Rz 544/16 |
W praktyce ochrona danych osobowych w związku z dostępem do informacji publicznej powinna być realizowana tylko poprzez możliwość ograniczenia dostępu do informacji publicznej z uwagi na prywatność osoby fizycznej. Samo zaś pojęcie prywatności powinno być interpretowane nie tylko w kontekście klasycznych dóbr osobistych, ale także przy uwzględnieniu zasad odnoszących się do ochrony danych osobowych. Dlatego też przepisy RODO trzeba uwzględnić w procesie udostępniania informacji publicznej wyłącznie poprzez ustalenie zakresu pojęcia prywatności osoby fizycznej. Prywatność podlega bowiem ochronie na podstawie art. 5 ust. 2 RODO.
Jak udostępnić informację, nie naruszając RODO
Ugruntowana jest linia orzecznicza sądów administracyjnych, że wskazany we wniosku dostępowym sposób udostępnienia informacji publicznej jest wiążący dla dysponenta informacji. Podmiot zobowiązany nie może zatem, zamiast udostępnienia informacji w sposób lub w formie wskazanej we wniosku, samodzielnie podjąć decyzji o udostępnieniu informacji w innej formie, aby chronić w ten sposób inne prawa.
Jeżeli dysponent informacji publicznej otrzymał wniosek o jej udostępnienie przez przekazanie kopii dokumentu zawierającego również dane osobowe, to nie jest dopuszczalne rozpatrzenie wniosku przez udostępnienie np. przepisanego fragmentu dokumentu zawierającego interesującą wnioskodawcę informację.
Skoro nie jest możliwa zmiana sposobu i formy udostępnienia, aby jednocześnie chronić dane osobowe, to organ (również zgodnie z unijną zasadą proporcjonalności) powinien podjąć działania zmierzające do udostępnienia informacji publicznej w taki sposób, aby jednocześnie nie prowadziło to do naruszenia regulacji o ochronie danych osobowych. Tylko w takim przypadku będzie możliwe jednoczesne zrealizowanie obu praw podstawowych, nie zaś realizacja jednego prawa kosztem drugiego. Odpowiedź co do właściwego sposobu udostępnienia informacji publicznej w takim przypadku daje ukształtowane od lat orzecznictwo. Na jego aktualność nie ma wpływu wejście w życie regulacji RODO.
|
Z ORZECZNICTWA Konieczność ochrony danych osobowych nie zwalnia organu z obowiązku udostępnienia informacji publicznej. Organ powinien wyłącznie ograniczyć dostęp do informacji umożliwiających identyfikację osoby fizycznej. W praktyce oznacza to udostępnienie dokumentów odpowiednio zanonimizowanych. Wyrok WSA w Olsztynie z 22 grudnia 2015 r., sygn. akt II SA/Ol 1179/15 |
Anonimizacja udostępnianej kopii polega na usunięciu z niej wyłącznie danych identyfikacyjnych w sposób uniemożliwiający wnioskodawcy ich odczytanie. Powszechnie jest to uznawane za zabieg wystarczający (w rozumieniu art. 5 ust. 2 u.d.i.p.) do zapewnienia ochrony prywatności - w tym do zapewnienia ochrony danych osobowych osoby fizycznej.
Od strony technicznej anonimizacja polega na tzw. wybiałkowaniu miejsca w dokumencie, w którym znajdują się dane identyfikacyjne. Przy obecnym rozwoju techniki może to być robione już nie tylko ręcznie przez urzędnika, ale również przez wyspecjalizowane oprogramowanie odnajdujące dane prawnie chronione i usuwające je automatycznie z udostępnianej kopii dokumentu.
dr Kazimierz Pawlik
Radca prawny, specjalizuje się w prawie administracyjnym
Podstawa prawna
-
art. 1 ust. 2, art. 5 ust. 2 ustawy z 6 września 2001 r. o dostępie do informacji publicznej (j.t. Dz.U. z 2016 r. poz. 1764; ost. zm. Dz.U. z 2017 r. poz. 933)
