- W momencie zbierania danych nawet od własnego pracownika należy go w klauzuli informacyjnej powiadomić, czy jego dane zostaną udostępnione innym - mówi dr Grzegorz Sibiga w rozmowie z DGP.
Urzędy udostępniające informacje publiczne znajdą się między młotem a kowadłem. Problemem jest między innymi prawo do zapomnienia
Czy w związku z unijnym rozporządzeniem RODO osoby, których dane są podane w Biuletynie Informacji Publicznej, zyskają dodatkowe uprawnienia? Odpowiedź na to pytanie nie jest prosta. A na dodatek nie spodoba się administracji publicznej, bo nowe regulacje zmuszą ją do rozstrzygania np. tego, czy dane osobowe mogą zostać w BIP, czy też powinny zostać usunięte.
Z jednej strony RODO przewiduje wprost, że dane osobowe zawarte w dokumentach urzędowych mogą zostać publicznie ujawnione. Z drugiej jednak nie wyłącza to wszystkich uprawnień, jakie mają osoby, których dane są przetwarzane.
– Chodzi o cały katalog uprawnień osób, których dane dotyczą, w tym przykładowo uprawnienia informacyjne takiej osoby, prawo do sprostowania danych nieprawidłowych czy nawet prawo do sprzeciwu osoby wobec przetwarzania jej danych osobowych – wyjaśnia dr Grzegorz Sibiga. – Nie oznacza to jednak, że każdy taki sprzeciw będzie skuteczny, ale będzie on wymagał rozpatrzenia przez administratora z uwzględnieniem przesłanek wskazanych w RODO, co następnie będzie podlegało niezależnej kontroli administracyjnej lub sądowej – dodaje ekspert.
Co to oznacza w praktyce? Osoba, której zadaniem jest udostępnianie informacji w BIP, musi zgodnie z prawem ujawniać swą tożsamość. To zaś nakłada na urząd, który jest pracodawcą, obowiązek poinformowania pracownika o przysługujących mu uprawnieniach. To samo zresztą będzie dotyczyć petentów, których dane mogą zostać ujawnione wraz z udostępnieniem dokumentu urzędowego.
Przepisy o dostępie do informacji publicznej nie wyłączają też innego uprawnienia wynikającego z RODO, czyli prawa do zapomnienia. Nie ma więc wątpliwości, że jeśli pracownik urzędu zmieni pracę, będzie mógł złożyć wniosek o usunięcie jego danych z BIP. Urząd zaś będzie musiał go rozpatrzyć, uwzględniając ogólną zasadę, że prawo do zapomnienia przysługuje, gdy dane nie są już niezbędne do realizacji celów, dla których zostały zebrane.
Czy ostatecznie powinny więc zostać wykasowane? Doktor Grzegorz Sibiga uważa, że nie, i wskazuje na prymat interesu publicznego, jakim jest możliwości ustalenia w każdym czasie, również w przyszłości, kto odpowiada za treść konkretnego dokumentu urzędowego i jego umieszczenie w BIP.
Podobnego zdania jest mec. Maciej Gawroński z kancelarii Gawroński &Partners. – W świetle brzmienia obecnych przepisów, które nakazują publikowanie informacji o osobie odpowiedzialnej za wprowadzenie danych do BIP, urząd zasadniczo nie ma podstaw do usunięcia jej danych. W tym przypadku trzeba podchodzić ostrożnie do prawa do bycia zapomnianym. Wyższość ma zasada rozliczalności, zgodnie z którą urzędnik ponosi odpowiedzialność za wprowadzone treści. Prawo do bycia zapomnianym na pewno nie powinno służyć do tego, aby nie można było ustalić odpowiedzialności– mówi Gawroński.
O rozwiązanie problemu poprosiliśmy też głównego inspektora ochrony danych osobowych. Czekamy na stanowisko w tej sprawie.
Czy unijne rozporządzenie o ochronie danych osobowych (RODO) w jakikolwiek sposób wpłynie na zasady udostępniania informacji publicznej w Polsce?
Bez wątpienia wpłynie, przy czym w trudny dzisiaj do określenia sposób.
Z jednej strony po raz pierwszy w przepisach unijnych dotyczących ochrony danych osobowych pojawił się przepis wprost odnoszący się do publicznego dostępu do dokumentów urzędowych. To art. 86 RODO, który wprost stanowi, że dane osobowe zawarte w dokumentach urzędowych mogą zostać publicznie ujawnione zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego. Zakres ujawnianych danych musi się jednak ograniczać tylko do tych niezbędnych dla realizacji interesu publicznego.
Z drugiej jednak strony przepis ten w żaden sposób nie wyłącza przewidzianych w RODO uprawnień osób, których dane dotyczą, a wręcz stanowi o potrzebie pogodzenia prawa dostępu do informacji oraz prawa do ochrony danych osobowych w kształcie ustalonym w RODO. W tej ostatniej kwestii nie do końca zrozumiała może być polska wersja językowa art. 86 RODO, ale warunek „godzenia” jasno wynika z wyjaśniającego motywu 154 preambuły RODO i z anglojęzycznej wersji rozporządzenia.
Czyli z jednej strony będzie można, a nawet trzeba, ujawniać dane przy udostępnianiu informacji publicznej, z drugiej zaś osoby, których dane dotyczą, będą mogły skorzystać z uprawnień przewidzianych w RODO. O jakich uprawnieniach mówimy?
Chodzi o cały katalog uprawnień osób, których dane dotyczą, określony w rozdziale 3 RODO - w tym np. uprawnienia informacyjne takiej osoby, prawo do sprostowania danych nieprawidłowych czy nawet prawo do sprzeciwu osoby wobec przetwarzania jej danych osobowych. W tym ostatnim przypadku publiczny dostęp do danych osobowych zawartych w dokumentach urzędowych traktuje się w RODO jako realizację interesu publicznego, a wówczas osobie, której takie dane dotyczą, przysługuje sprzeciw wobec takiego przetwarzania z przyczyn związanych z jej szczególną sytuacją. Nie oznacza to, że każdy taki sprzeciw będzie skuteczny, ale będzie on wymagał rozpatrzenia przez administratora z uwzględnieniem przesłanek wskazanych w RODO. To następnie będzie podlegało niezależnej kontroli administracyjnej lub sądowej.
Jednym słowem urzędom dojdzie sporo obowiązków?
Rzeczywiście udostępnianie danych osobowych w ramach dostępu do informacji publicznej spowoduje potrzebę wdrożenia obowiązków określonych w RODO. Oprócz tych związanych z wykonaniem już wymienionych uprawnień organ administracji publicznej będzie musiał ustalić w stosunku do udostępnianych danych osobowych w ramach informacji publicznej sposób realizacji zasady przejrzystego przetwarzania danych, minimalizacji zakresu udostępnianych danych czy ograniczenia czasu ich przechowywania.
Podam praktyczny przykład obowiązku. W momencie zbierania danych od klienta urzędu czy nawet własnego pracownika należy go w klauzuli informacyjnej powiadomić, czy jego dane zostaną udostępnione innym i podać prawną podstawę tego udostępnienia.
Jak to miałoby wyglądać w praktyce?
Według RODO informacji udziela się przede wszystkim na piśmie lub elektronicznie, ale nie jest również wykluczone podawanie informacji ustnie. W klauzuli informacyjnej wobec osoby, której dane dotyczą, należy podać każdy cel przetwarzania i jego podstawę prawną. Dotyczy to także obowiązków administratorów związanych z jawnością. Ujmując to wprost, jeżeli obywatel składa do administracji wniosek w sprawie, w której zostaną ujawnione jego dane osobowe, to powinien być o tym poinformowany w momencie przekazywania swoich danych, tj. gdy składa wniosek. To samo dotyczy pracownika administracji, który winien otrzymać informacje, jakie jego dane osobowe, w jakich sytuacjach i na jakiej podstawie będą ujawniane każdemu zainteresowanemu realizacją prawa do informacji.
Osoba, której dane mają być udostępnione, zostaje o tym poinformowana, ale załóżmy, że nie chce tego zaakceptować. Co wówczas?
Jak już wspomnieliśmy, w przypadku przetwarzania danych dla zadań realizowanych w interesie publicznym, takich jak ujawnianie informacji publicznej, osobie przysługuje prawo do sprzeciwu, a w RODO określa się tryb wykonywania tego prawa. W pierwszej kolejności osoba występuje do administratora (w tym przypadku organu administracji publicznej), a jeżeli ten nie uwzględni jej żądania, ma wybór środków prawnych: skargi do administracyjnego organu nadzorczego (dzisiaj generalnego inspektora ochrony danych osobowych, po zmianach prezesa Urzędu Ochrony Danych Osobowych) lub wystąpienia z powództwem do sądu powszechnego z wykorzystaniem nowego środka wprowadzonego w RODO, umożliwiającego sądową ochronę prawa do ochrony danych osobowych. Można się więc spodziewać, że w zakresie dostępu do informacji publicznej spór będzie się mógł toczyć nie tylko, tak jak obecnie, z inicjatywy osób, które nie otrzymały żądanych informacji, lecz także z inicjatywy osób, których dane są ujawniane.
Mimo że RODO generalnie pozwala na upublicznianie według przepisów krajowych danych osobowych w dokumentach urzędowych, to nie wykluczam, że działania osób, których dane dotyczą, mogą być w konkretnych przypadkach skuteczne. Część polskich przepisów dotyczących jawności i dostępu do informacji jest bowiem niejednoznaczna, niejednolite jest również ich stosowanie.
Czy można było tych wszystkich obowiązków uniknąć?
Pogodzenie dostępu do informacji publicznej z dostępem do informacji może także polegać na ograniczeniu stosowania niektórych uprawnień i obowiązków określonych w RODO. Takie ograniczenia wymagają jednak działania prawodawcy państwa członkowskiego Unii, który w ustawie może wprowadzić zmiany w stosowaniu przepisów RODO. Z innej strony osoby, której dane są ujawniane, nie można pozbawić wszelkich uprawnień wynikających z RODO.
Problem zauważono w niektórych państwach UE, w których w ustawach uzupełniających RODO zawężono zakres stosowania rozporządzenia do danych osobowych ujawnianych w publicznie dostępnych dokumentach urzędowych.
Czyli w innych państwach wprowadzono pewne wyłączenia. Jakie można byłoby wprowadzić u nas?
Można rozważyć ograniczenia obowiązków informacyjnych wobec osób, których dane są ujawniane, chociaż nie w całości, obowiązku respektowania prawa do bycia zapomnianym w przypadku upublicznienia informacji publicznej w sieci publicznej czy wymogu respektowania sprzeciwu wobec przetwarzania.
Jeśli dobrze rozumiem, w tej chwili mamy swego rodzaju sprzeczność. Z jednej strony przepisy nakazują publikowanie danych osobowych, z drugiej zaś nie wyłączają uprawnień, nawet takich jako prawo do zapomnienia czy prawo do sprzeciwu?
Sprzeczność między tymi prawami wynika z ich istoty. Jednak polski prawodawca nie podjął dotychczas żadnych działań, aby spróbować pogodzić te prawa, mimo że wymaga się tego w art. 86 RODO. Jeżeli nie dojdzie do przyjęcia takich przepisów, to dopiero w sprawach spornych organ nadzorczy lub sądy będą wyznaczały granice między omawianymi uprawnieniami.
Przełóżmy te teoretyczne rozważania na praktykę. Osoba zamieszczająca informacje w Biuletynie Informacji Publicznej musi zgodnie z polskimi przepisami ujawnić swe dane. Będzie mogła odmówić ich podania?
Przepisy ustawy o dostępie do informacji publicznej wprost wymagają podania w BIP danych określających tożsamość osoby, która wytworzyła informację publiczną lub odpowiada za treść informacji, jak również dołączenia do informacji zamieszczanej w BIP danych określających tożsamość osoby, która ją wprowadziła. RODO nie zmienia tego wymogu, a w przypadku wniesienia sprzeciwu przez zainteresowanego bardzo trudno będzie mu przekonać organ nadzorczy lub sąd, że jego prawa przeważają nad interesem publicznym w upublicznieniu tych danych osobowych. Jednak przepis nie określa czasu ujawniania danych osobowych w BIP i tutaj pojawia się pole do sporów.
Załóżmy więc, że urzędnik wprowadzający informacje do BIP po latach zmienił pracę. Powiedzmy, że teraz jest radcą prawnym. Ma prawo skorzystać z tak zachwalanego przez Komisję Europejską prawa do zapomnienia?
Sytuacja jest niejednoznaczna. Przepisy krajowe nie określają długości czasu ujawnienia informacji w BIP, a w RODO przewiduje się ogólną zasadę, że prawo do zapomnienia przysługuje, gdy dane nie są już niezbędne do realizacji celów, dla których zostały zebrane. W jednym z ubiegłorocznych orzeczeń Trybunał Sprawiedliwości UE wskazał, że dopuszczalny czas ujawnienia danych osobowych trzeba badać także w przypadku danych ujawnionych w rejestrach publicznych. Osobiście jednak uważam, że jeżeli upubliczniane jest jedynie imię i nazwisko pracownika urzędu, to prymat ma interes publiczny polegający na możliwości ustalenia w każdym czasie, również w przyszłości, kto odpowiada za treść konkretnego dokumentu urzędowego i jego umieszczenie w BIP.
Idźmy dalej. Jakie obowiązki wobec takiej osoby wprowadzającej dane do BIP ma urząd, który ją zatrudnia?
Pracodawca powinien poinformować pracownika, i to w momencie pierwszego zbierania jego danych, że praca wiąże się z udostępnianiem jego danych osobowych w BIP w określonych sytuacjach. Pracownik może dodatkowo zażądać dalszych informacji o tym celu przetwarzania. Z kolei w przypadku umieszczenia jego danych w BIP przysługuje mu prawo sprostowania lub uzupełniania danych w przypadku podania błędnych danych. Do czasu sprawdzenia prawidłowości danych można domagać się zdjęcia ich ze strony i ograniczenia się urzędu tylko do ich przechowywania.
Tymczasem w Polsce trwają prace nad projektem ustawy o jawności życia publicznego? Czy ona coś może zmienić?
Na razie kolejne projekty ustawy i kierunki prac napawają niepokojem. W projekcie znacząco poszerza się zakres upublicznianych danych osobowych uczestników niektórych rodzajów postępowań administracyjnych, a przede wszystkim osób składających oświadczenia majątkowe. Nie zauważyłem, żeby projektujący przepisy w ogóle zastanawiali się nad prawami osób, których dane osobowe zamierzają ujawnić. Nie poddano również analizie, czy ujawnienie tak znaczącego zakresu danych osobowych jest niezbędne do realizacji interesu publicznego, czego od przepisów prawa krajowego wymaga RODO. Ja nie dostrzegam tutaj zachowania proporcji.
Artykuł 86 RODO*
Przetwarzanie a publiczny dostęp do dokumentów urzędowych
Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia.
* Ogólne rozporządzenie o ochronie danych osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.