Jego dopełnieniem wyznaczającym wskazówki interpretacyjne jest motyw 154 preambuły RODO, który pozwala uwzględnić przy stosowaniu przepisów rozporządzenia zasadę publicznego dostępu do dokumentów urzędowych. Przepisy krajowe służące wykonaniu przedmiotowych przepisów RODO powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie tego rozporządzenia. RODO nie daje jednak żadnych nowych wytycznych, jak zrealizować ten cel.

Ponowne wykorzystywanie ISP a ochrona danych osobowych

Zakres przedmiotowy InfSekPublU wyznacza pojęcie informacji sektora publicznego. Zgodnie z art. 2 ust. 1 ustawy jest nią każda treść lub jej część, niezależnie od sposobu utrwalenia, w szczególności w postaci papierowej, elektronicznej, dźwiękowej, wizualnej lub audiowizualnej, będąca w posiadaniu podmiotów zobowiązanych. Zakres pojęcia informacji sektora publicznego jest zatem szerszy od pojęcia informacji publicznej i może obejmować również inne treści, które posiadają przymiot sprawy publicznej. Z kolei przez ponowne wykorzystywanie – art. 1 ust. 3 InfSekPubU – należy rozumieć wykorzystywanie przez osoby fizyczne, osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej informacji sektora publicznego w celach komercyjnych lub niekomercyjnych innych niż pierwotny publiczny cel, dla którego informacja została wytworzona.

Wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, niezależnie od tego, czy są dostępne publicznie, stanowią dane osobowe. Zgodnie z definicją przytoczoną wyżej ponowne wykorzystywanie informacji sektora publicznego stanowiących dane osobowe (np. dane o osobie pełniącej funkcje publiczne) lub dane osobowe zawarte w informacji sektora publicznego (np. dane osobowe ujawnione w rejestrze publicznym) będzie ich przetwarzaniem w rozumieniu przepisów o ochronie danych osobowych, np. przez gromadzenie danych i dokonywanie na nich dalszych operacji. Zarówno podmioty zobowiązane będące dysponentem danych, jak i „każdy zainteresowany”, który pozyska dane jako informacje sektora publicznego w trybie ich ponownego wykorzystywania, wykorzystując (czyli przetwarzając) dane osobowe musi respektować zasady ich przetwarzania określone w przepisach RODO i pozostałych przepisów o ochronie danych osobowych.

Dotychczasowe przepisy InfSekPublU określały relację między prawem do ponownego wykorzystywania oraz ochroną danych osobowych pośrednio oraz bezpośrednio. Po pierwsze, zgodnie z art. 6 ust. 2 prawo do ponownego wykorzystywania podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy [symetryczne ograniczenie znajdziemy w art. 5 ust. 3 ustawie z 6.9.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2018 r. poz. 1330 ze zm.; dalej: DostInfPubU). Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. Po drugie, bezpośrednią relację z ochroną danych osobowych określał art. 7 ust.2, zgodnie z którym przepisy ustawy nie naruszają przepisów o ochronie danych osobowych.

Wykonanie art. 86 RODO

Artykuł 86 RODO należy zaliczyć do tej kategorii przepisów ogólnego rozporządzenia, które powinny być obligatoryjnie przyjęte w prawie krajowym (G. Sibiga, Dopuszczalny zakres polskich przepisów o ochronie danych osobowych po rozpoczęciu obowiązywania ogólnego rozporządzenia o ochronie danych osobowych – wybrane zagadnienia, Ogólne rozporządzenie o ochronie danych. Aktualne problemy prawnej ochrony danych osobowych 2016, Warszawa 2016, s. 19.) Wprawdzie nie służy on bezpośrednio wdrożeniu postanowień rozporządzenia, ale zachowaniu równowagi między prawem ochrony danych osobowych oraz prawem do informacji, które może być w różnorodny sposób ujęte w prawie krajowym (Ibidem).

Łączna interpretacja art. 86 i dopełniającego go motywu 154 preambuły RODO pozwala na wyprowadzenie następujących wniosków. Po pierwsze, RODO nie wyłącza możliwości ujawnienia danych stanowiących informacje sektora publicznego w ramach ponownego wykorzystywania. Po drugie, państwa członkowskie UE powinny w prawie krajowym wykonać dyspozycję art. 86 i motywu 154 poprzez przyjęcie przepisów godzących publiczny dostęp do dokumentów (i ponowne wykorzystywanie informacji sektora publicznego) z prawem do ochrony danych osobowych. Po trzecie, konieczne jest uwzględnienie prawa do ochrony danych w przepisach o ponownym wykorzystywaniu informacji sektora publicznego.

Zmiany ponownego wykorzystywania informacji sektora publicznego

Wykonanie przepisów RODO w InfSekPublU zakłada zmianę art. 7 ustawy polegającą na ograniczeniu spełniania obowiązków informacyjnych, o których mowa w art. 13, 14 i 19 RODO w związku z realizacją prawa do ponownego wykorzystywania informacji stanowiących lub zawierających dane osobowe.

Zgodnie z dodanym w art. 7 ust. 3 do przetwarzania danych osobowych w celu udostępniania lub przekazywania informacji sektora publicznego do ponownego wykorzystywania nie stosuje się przepisu art. 13 ust. 3 RODO. Zgodnie z art. 13 ust. 3 RODO 3 jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.Oznacza to, że podmiot zobowiązany udostępniając informacje zawierających dane osobowe, czy to z własnej inicjatywy na stronie internetowej urzędu, czy przekazując na wniosek zainteresowanego użytkownika, nie będzie zobligowany do spełnienia obowiązku informacyjnego wymienionego w art. 13 RODO, a więc w przypadku zbierania danych od osoby, której dane dotyczą.

Kolejna zmiana – wprowadzona w art. 7 ust. 4 InfSekPublU – dotyczy ograniczenia obowiązku informacyjnego wymienionego w art. 14 RODO, a więc w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Oznacza to, że użytkownik przetwarzając dane osobowe w celu ponownego wykorzystywania nie będzie musiał podawać osobie, której dane dotyczą wszystkich informacji wymienionych w art. 14 ust. 1-4 RODO. Należy podkreślić, że zwolnienie użytkowania z obowiązku informacyjnego dotyczy jedynie sytuacji wymienionych w art. 7 ust. 4 InfSekPublU, tj.

  • osób pełniących funkcje publiczne mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania tych funkcji,
  • osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe,
  • obejmujących nazwę (firmę), numer identyfikacji podatkowej (NIP) albo imię i nazwisko kontrahenta podmiotu zobowiązanego.

Pierwsza sytuacja stanowi potwierdzenie możliwości wykorzystywania danych osobowych osób pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, co wynika z art. 5 ust. 2 DosInfPublU i art. 6 ust. 2 InfSekPublU.

Druga sytuacja znajduje uzasadnienie w motywie 14 preambuły RODO, w myśl którego rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Z kolei trzecia sytuacja, wynika z ugruntowanego orzecznictwa sądowego uznającego dane osób, z którymi podmioty publiczne zawierają umowy cywilnoprawne za informacje publiczne [zob. Wyrok Sądu Najwyższego (sygn. I CSK 190/12) w sprawie ujawnienia przez urząd miasta st. Warszawy nazwiska i imiona osób, z którymi miasto zawarło umowy o dzieło lub zlecenia. Prywatność nie obejmuje imion i nazwisk osób zawierających umowy cywilnoprawne z jednostkami samorządu terytorialnego]. Dla omawianego wyłączenia obowiązku informacyjnego nie będzie miało znaczenia czy kontrahentem podmiotu publicznego jest osoba fizyczna czy osoba prawa. Brak konieczności poinformowania podmiotu danych będzie miał istotne znaczenie dla możliwości przetwarzania danych ujawnionych w tzw. rejestrach umów publikowanych przez wiele podmiotów publicznych.

Kolejna zmiana InfSekPublU polega na dodaniu w art. 7 ust. 5, zgodnie z którym obowiązek, o którym mowa w art. 19 RODO, podmiot zobowiązany wykonuje przez zaktualizowanie danych odpowiednio na swojej stronie podmiotowej Biuletynu Informacji Publicznej, w centralnym repozytorium lub w inny sposób. Artykuł 19 RODO obciąża administratora wtórnymi obowiązkami informacyjnymi, polegającymi na tym, że administrator powinien poinformować o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. W myśl wprowadzonej zmiany w InfSekPublU, podmiot zobowiązany w przypadku sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych udostępnionych na prowadzonych przez siebie stronach internetowych, BIP lub portalu dane.gov.pl (pełniącego funkcje centralnego repozytorium informacji publicznych), spełni przedmiotowy obowiązek informacyjny poprzez publikacje odpowiednich informacji w miejscu udostępnienia danych osobowych.

Ostatnia zmiana w InfSekPublU, które dokonano przepisami tzw. RODO sektorowego, to dodanie w – wymienionym w art. 14 ust. 4 InfSekPublU – katalogu warunków ponownego wykorzystywania pkt 4 dotyczącego „informacji sektora publicznego zawierającej dane osobowe”. Oznacza to, że podmiot zobowiązany określając warunki ponownego wykorzystywania informacji sektora publicznego, będzie mógł uwzględnić kwestie ochrony danych osobowych, przez co ochrona danych osobowych stanie się zobowiązaniem umownym.