Zgodnie z zasadą ograniczenia czasowego ujętą w RODO przechowywanie informacji w postaci umożliwiającej identyfikację osób, których one dotyczą, nie powinno trwać dłużej niż to niezbędne do osiągnięcia celu przetwarzania - mówi Monika Krasińska, dyrektor departamentu orzecznictwa, legislacji i skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych.
Kilka tygodni temu pisaliśmy na łamach tygodnika Samorząd i Administracja, że jest problem z ochroną danych osobowych tych pracowników urzędów, którzy odpowiedzialni są za wprowadzanie informacji w Biuletynie Informacji Publicznej. Kiedy taka osoba odchodzi z pracy, jej dane nadal figurują na stronie przez wiele lat. Tymczasem wchodzi wkrótce RODO, które zwiększa nacisk na uprawnienia osób, których dane są przetwarzane. Czy GIODO podziela te obawy?
Unijne rozporządzenie o ochronie danych (RODO) zmusza nas do ponownego przyjrzenia się dotychczasowym polskim regulacjom dotyczącym upubliczniania informacji publicznej w sieci, w tym w BIP. Niewątpliwie w przepisach istnieje pewna luka. Obecnie w polskim prawie obowiązują bowiem jedynie regulacje, które odnoszą się do obowiązku publikacji danych osobowych pracowników wytwarzających oraz zamieszczających informacje w BIP. Nie ma natomiast żadnych przepisów, które regulowałyby chociażby retencję tych danych, czyli to, jak długo mają być one przetwarzane. Zatem po 25 maja 2018 r. trzeba będzie odwoływać się do ogólnych zasad wynikających z RODO. Rozporządzenie unijne wskazuje zaś, że przetwarzane powinny być tylko te dane, które są niezbędne do osiągnięcia określonego celu. Ponadto, zgodnie z zasadą ograniczenia czasowego ujętą w art. 26 ust. 1 pkt 4 RODO, przechowywanie danych w postaci umożliwiającej identyfikację osób, których one dotyczą, również nie powinno trwać dłużej niż to niezbędne do osiągnięcia celu przetwarzania.
Czy możemy zatem mówić również o konflikcie interesu publicznego z prywatnym?
Problem dotyczy szerokiego kręgu osób i to nie tylko tych, które są osobami publicznymi bądź pełnią określone funkcje publiczne. Z jednej strony w okresie zatrudnienia są one, czego wymaga prawo, identyfikowane z jednostką, w imieniu której występują. A ich prawo do prywatności podlega pewnemu ograniczeniu, gdyż w obszarze swojej aktywności zawodowej nie są traktowane jak osoby prywatne. Z drugiej zaś strony mają one także prawo oczekiwać innego podejścia do informacji zgromadzonych o nich w momencie, kiedy przestają pełnić swoje dotychczasowe funkcje i jako osoby prywatne z reprezentowaną dotychczas instytucją nie mają już nic wspólnego. Zasadne jest pytanie: jak długo osoba, która już nie pełni funkcji publicznej, ma być identyfikowana jako pracownik zatrudniony w danej instytucji albo jako osoba pracująca przy pewnym dokumencie i identyfikowana jako jego wytwórca. O ile w przypadku przechowywania dokumentacji zawierającej takie informacje istnieją odrębne przepisy prawa kształtujące okres archiwizacji, o tyle tożsame dokumenty funkcjonujące w BIP lub na stronach internetowych różnych instytucji przechowywane są bezterminowo.
Jakie dostrzega pani z tym związane zagrożenia z punktu widzenia ochrony danych osobowych tych osób?
Pamiętajmy, że BIP to ujednolicony system stron internetowych, stworzony w celu powszechnego udostępniania informacji publicznej. Ze swej istoty ten publikator teleinformatyczny ma na celu w sposób powszechny udostępniać informacje publiczne, przez co stają się one elementem całego wirtualnego świata. A zatem wszelkie informacje z BIP, jako pozyskane ze źródeł powszechnie dostępnych, będą mogły być przetwarzane przez różne podmioty, które tymi informacjami w różnorodnych celach będą mogły dowolnie rozporządzać. Oczywiście i one będą musiały rozliczyć się z procesów przetwarzania danych pozyskanych ze źródeł powszechnie dostępnych, ale nie zmienia to faktu, że dotychczasowy udostępniający administrator traci nad nimi w tym zakresie kontrolę. Generalny inspektor ochrony danych osobowych wielokrotnie zwracał uwagę - zarówno w przeszłości przy kolejnych nowelizacjach ustawy o dostępie do informacji publicznej, jak i teraz przy opiniowaniu powstającego projektu ustawy o jawności życia publicznego - że właśnie poprzez publikowanie w BIP różnego rodzaju danych osobowych dostęp do nich będzie miała nieograniczona liczba użytkowników. A to wiąże się z kolei z takimi ryzykami, jak przetwarzanie danych tych osób w celach marketingowych czy chociażby ich profilowanie, tj. m.in. określanie ich cech osobowościowych czy prognozowanie zachowań na podstawie danych zebranych z różnych źródeł. Dane zamieszczane w BIP mogą być wykorzystane również w wielu innych celach, których dziś nie jesteśmy nawet sobie w stanie wyobrazić. W związku z tym spoczywa na nas szczególna odpowiedzialność za stworzenie takich przepisów, które będą gwarantować poszanowanie praw osób, których publikowane dane dotyczą. Kluczowy jest przy tym test proporcjonalności i to zarówno na etapie zbierania, jak i późniejszej publikacji danych. Trybunał Sprawiedliwości UE przy wielu okazjach wypowiadał się na temat publikacji danych w internecie, wskazując, że państwa członkowskie powinny uważnie rozważyć zarówno konflikt interesów między transparentnością działań publicznych a ochroną danych uczestniczących w nich osób, jak i zakres danych, które często są publikowane w sposób nadmiarowy (np. w sprawach C-465/00, C-138/01 oraz C-139/01). Poddawał także pod rozwagę zasadę minimalizacji i mechanizmy anonimizacji określonych danych przed ich ujawnieniem.
Załóżmy, że urzędnik wprowadzający informacje do BIP po latach zmienił pracę. Czy po wejściu RODO będzie mógł skorzystać z prawa do bycia zapomnianym, zwrócić się do urzędu z wnioskiem o usunięcie jego danych?
Na to pytanie RODO odpowiada w sposób, który sprzyja poszanowaniu praw tych osób. Jeżeli bowiem ustawodawca, dostosowując prawo krajowe do podstawowych zasad określonych w RODO, nie zapewni odpowiednich gwarancji ochrony ich praw, to wówczas osoby te będą mogły wystąpić np. z wnioskiem o prawo do bycia zapomnianym albo chociażby z wnioskiem o ograniczenie przetwarzania danych osobowych. Będą to mogły uzasadniać tym, że cel, któremu do tej pory służyła publikacja ich danych osobowych w BIP (np. jako wytwórcy określonego dokumentu), ustał, a jednocześnie brak jest regulacji szczególnych, które ograniczałyby ich autonomię informacyjną.
Czy po wejściu RODO spodziewa się pani zatem zalewu wniosków ze skargami byłych pracowników do GIODO?
Należy przypuszczać, że coraz bardziej świadomi pracownicy (czy też byli pracownicy), wykorzystując potencjał, jaki daje unijne rozporządzenie, będą kierować do organu nadzorczego ds. ochrony danych osobowych jeśli nie skargi, to przynamniej wnioski o zbadanie tej kwestii z urzędu. Ponadto prawdopodobnie będą też występować do sądów cywilnych o odszkodowania za bezterminowe przechowywanie danych osobowych, które narusza ich podstawowe prawa i wolności.
Czeka nas zatem bardzo ciekawy proces rozstrzygania tej kwestii przez sądy zarówno cywilne, jak i administracyjne. W tym zakresie powinna być wypracowana wspólna linia orzecznicza, ale oczywiście i tak każda sprawa będzie rozpatrywana indywidualnie.
Urzędnik po rozpoczęciu stosowania RODO będzie miał zatem dużo więcej możliwości, by przed Temidą dochodzić swoich praw.
Rzeczywiście, pojawi się nowe roszczenie, do tej pory nieistniejące w naszej przestrzeni prawnej: o naruszenie ochrony danych osobowych, na które wskazuje RODO. To inne roszczenie niż dotyczące ochrony dóbr osobistych. W związku z tym pojawią się nowe rodzaje spraw w sądach cywilnych, które w projekcie nowej ustawy o ochrony danych osobowych, przygotowanej przez Ministerstwo Cyfryzacji, wstępnie wskazano jako właściwe do rozpatrywania tego typu roszczeń.
A czy nie jest tak, że w prawie brak jest regulacji, które pozwalałyby urzędom usunąć takie dane, nawet jeśli były pracownik o to wystąpi? Czy dzisiaj urzędy nie są jednak trochę między młotem a kowadłem?
To prawda. Z pewnością urzędy będą wskazywać zgłaszającym się z prośbą o usunięcie ich danych te przepisy, które zobowiązują je do umieszczania takich informacji. I będą borykać się z luką prawną w zakresie dalszego zarządzania tą informacją, chociażby jej archiwizacji w BIP czy też okresów usuwania. Dlatego uważamy, że ta luka wymaga uregulowania. Jednak nawet w przypadku jej niewypełnienia, pozostaje RODO wraz ze wszystkimi mechanizmami ochronnymi w nim zawartymi. Podpowiedzią dla administratorów publikujących dane osobowe w BIP mogą być także wytyczne zawarte w opinii 2/2016 Grupy Roboczej Art. 29 dotyczącej publikacji danych osobowych dla celów przejrzystości w sektorze publicznym. Grupa mocno akcentuje obowiązek informacyjny i umożliwienie osobom, których dane są przetwarzane przez instytucje publiczne, realizację ich praw, o których mowa w RODO.
Czy GIODO występował o to, aby te kwestie uregulować?
Tak. Ostatnio przedmiotem naszego szczególnego zainteresowania był projekt ustawy o jawności życia publicznego. Mimo że nie został nam przesłany do zaopiniowania, to - zważywszy na wagę regulowanej w nim materii - z własnej inicjatywy zgłosiliśmy do niego wiele uwag (są zawarte w piśmie skierowanym do Kancelarii Prezesa Rady Ministrów 22 listopada 2017 r.; sygn. akt DOLIS-023–490/17).
W projekcie tej ustawy, co należy pozytywnie odnotować, po wielu latach istnienia luki prawnej, wskazano wreszcie okres, przez który w BIP mają być publikowane oświadczenia majątkowe osób zobowiązanych do ich składania. Ustalono go na 6 lat, wiążąc jednocześnie z 6-letnim okresem, przez który mają być one archiwizowane. To pokazuje, że można jednak uregulować te kwestie. Proszę zwrócić przy tym uwagę, że do tej pory również orzecznictwo sądów administracyjnych wyraźnie wskazywało, iż biuletyn informacji publicznej powinien być miejscem, w którym informujemy o różnego rodzaju działaniach mających związek z szeroko pojmowaną sferą życia publicznego, ale nie może być to przestrzeń bezterminowego przechowywania danych osobowych.
Jakie propozycje rozwiązań postuluje GIODO? Jak te przyszłe regulacje powinny wyglądać?
Na pewno w przepisach trzeba wyraźnie wskazać, jak długo można te dane przetwarzać i w jakich celach. Tym bardziej że zgodnie z RODO każda osoba, a więc także pracownik, w momencie bezpośredniego udostępniania swoich danych ma prawo oczekiwać od administratora, a zatem także od pracodawcy, wyartykułowania wszelkich celów ich przetwarzania oraz okresu, przez który będą one przechowywane. Jeżeli osoba ma mieć taką wiedzę, to tym bardziej uprzednio taką wiedzę powinien posiadać administrator.
W dyskusji publicznej często pojawiają się argumenty zwolenników pozostawiania danych w BIP przez dłuższy czas. Wskazują na prymat interesu publicznego nad prawami jednostki. Argumentują przy tym, że jest to konieczne w celu chociażby możliwości ustalenia, kto odpowiada za treść konkretnego dokumentu urzędowego i jego umieszczenie w BIP. GIODO nie podziela tych argumentów?
Proszę wyobrazić sobie, że wkrótce możemy mieć do czynienia z informacjami zamieszczonymi w BIP 20, 30 czy nawet 100 lat temu. W takim przypadku zasadne staje się pytanie, jakie sankcje można byłoby zastosować wobec takich osób, a tym bardziej byłych pracowników? Na pewno nie te wynikające z kodeksu pracy. Czy po to mamy BIP, by wychwytywać w przyszłości nieprawidłowości? Czy raczej te nieprawidłowości związane z dokumentem/transakcją powinny być przeanalizowane i wychwycone najpóźniej przed umieszczeniem tej informacji w biuletynie? W przywoływanej przeze mnie wcześniej opinii Grupy Roboczej Art. 29 postawiona została wprost teza, że ilość danych publikowanych przez internet powinna być bardziej ograniczona, niż ta przekazywana instytucjom, gdyż proaktywne ujawnienie niektórych informacji może być nieproporcjonalne, biorąc pod uwagę prawdopodobny wpływ publikacji na osoby, których dane dotyczą. Automatyzm w publikacji w internecie wszystkich spraw z sektora publicznego wraz z technologicznymi możliwościami ich przeszukiwania może prowadzić do pozyskania danych nieadekwatnych i w sposób istotny wpływać na pogorszenie nie tylko sytuacji prawnej tych osób. Dyskusja na ten temat nie została jeszcze w pełni przeprowadzona, ale w debacie nad przyszłością danych osobowych w sieci GIODO ma wiele argumentów, o których mowa w RODO, i z chęcią się nimi będzie dzielił z zainteresowanymi ukształtowaniem nowego systemu dostępu do informacji publicznej.