Dostęp do informacji publicznej a ochrona danych osobowych

Spis treści:

1. Ograniczenie dostępu
2. Problemy interpretacyjne
3. Prywatność
4. Ochrona danych osobowych a prywatność
5. Które dane udostępniać?
6. Czy obawa przed udostępnieniem danych osobowych jest nadmierna?

Ustawa o dostępie do informacji publicznej przewiduje ograniczenie realizacji prawa do informacji ze względu na prywatność osoby fizycznej, nie wspomina natomiast o ochronie danych osobowych. Tymczasem faktycznie to ze względu na informacje stanowiące dane osobowe dostęp ten jest ograniczony, w praktyce jednak pojawiają się wątpliwości, jakie są granice tego ograniczenia i jak ma się udip do rodo.

W Polsce podstawowym aktem określającym zasady dostępu do informacji publicznych, w tym tych obejmujących dane osobowe, jest ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. DzU z 2022 r., poz. 902 ze zm.; dalej: udip). W żadnym z jej przepisów nie ma jednak mowy o danych osobowych, przetwarzaniu danych osobowych czy ochronie danych osobowych. Te wszystkie zagadnienia są uregulowane w rodo.

Rozporządzenie to definiuje dane osobowe w art. 4 pkt 1 jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna jest to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W tym samym akcie określa się zasady przetwarzania danych osobowych, które w myśl art. 4 pkt 2 są rozumiane jako operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Takie operacje na danych osobowych niewątpliwie wykonuje się również w związku z zapewnianiem dostępu do informacji publicznej.

Sama informacja publiczna na gruncie art. 1 ust. 1 udip rozumiana jest jako każda informacja o sprawie publicznej. Treść art. 6 ust. 1 udip, w którym zostały podane przykładowo tego rodzaju informacje podlegające udostępnieniu, wskazuje niezbicie, że w skład znacznej części tych informacji wchodzą dane osobowe, co do których trzeba rozstrzygać, czy w konkretnej sytuacji mogą podlegać udostępnieniu. Udostępnienie takie stanowi czynność przetwarzania danych osobowych zgodnie z przepisami rodo.

Ograniczenie dostępu

Ustawa o dostępie do informacji publicznej wprowadza ograniczenie realizacji prawa dostępu do informacji publicznej m.in. ze względu na prywatność osoby fizycznej (art. 5 ust. 2 udip). Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, w którym osoba fizyczna rezygnuje z przysługującego jej prawa.

W art. 5 ust. 2 udip określa się zatem zasadę, według której dostęp do informacji publicznej będzie ograniczony ze względu na prywatność osoby fizycznej. Ten sam przepis wskazuje także na okoliczności, kiedy powyższe ograniczenie nie będzie mieć zastosowania, a mianowicie gdy:

• informacja będzie dotyczyła osób pełniących funkcje publiczne;
• informacja będzie miała związek z pełnieniem funkcji publicznej, w tym o warunkach powierzenia i wykonywania funkcji;
• osoba fizyczna zrezygnuje z przysługującego jej prawa – czyli dostęp do informacji ze strefy prywatności osoby fizycznej lub do informacji o przedsiębiorcy w zakresie jego tajemnicy będzie uzależniony od aktu woli ze strony tych osób [1].

Problemy interpretacyjne

W przytoczonym artykule udip pojawiają się pojęcia powodujące problemy interpretacyjne, ponieważ ustawodawca nie zadbał o ich zdefiniowanie. Może to być oceniane niekorzystnie przez podmioty zobowiązane do udostępnienia informacji, którym pozostaje dokonywać za każdym razem ważenia interesów podmiotu udostępniającego, podmiotu pytającego oraz osoby fizycznej, której dane miałyby podlegać udostępnieniu. Ważenia interesów dokonuje się przy uwzględnieniu wymogów wynikających z rodo ze szczególnym uwzględnieniem art. 5 w związku z art. 6 ust. 1 lit. c lub e tego aktu.

Prywatność

Pojęcie prywatności, jak już wskazano powyżej, nie zostało zdefiniowane. Ponadto brakuje także katalogu informacji, które można byłoby zaliczyć do strefy prywatności. Jak trafnie zauważa Marlena Sakowska-Baryła, komentując regulację zawartą w art. 5 ust. 2 udip, nie sposób stworzyć zamkniętego katalogu informacji, których brzmienie i treść każdorazowo będą zaliczane do sfery prywatności człowieka. W praktyce przydatne są badania i ustalenia tej autorki dotyczące pojęcia prywatności oraz relacji pomiędzy prawem dostępu do informacji publicznej a ochroną danych osobowych. Przede wszystkim w ślad za dokonanymi przez autorkę analizami należy przyjąć, że na zakres i sposób ograniczenia prawa do dostępu do informacji publicznej dokonywanego w konkretnym przypadku mają wpływ takie czynniki, jak:

• tryb realizacji prawa dostępu do informacji publicznej;
• treść, zakres i postać informacji ze sfery prywatności;
• walory informacyjne informacji, jaka powstanie na skutek dokonanego ograniczenia;
• okoliczności faktyczne wykonywania prawa dostępu do informacji publicznej;
• niekiedy także i to, kto występuje w trybie wnioskowym o udostępnienie informacji [2].

O ile brak precyzyjnego zakresu pojęcia prywatności przysparza wielu problemów interpretacyjnych, o tyle wydaje się, że próba wskazania jednoznacznie informacji należących do sfery prywatności nie byłaby rozwiązaniem efektywnym. Jak podnosi wspomniana autorka to, czy mamy do czynienia z prywatnością, ustala się, analizując dany przypadek z uwzględnieniem konkretnych okoliczności. Takie podejście ma szczególnie istotne znaczenie w praktyce, ponieważ rzeczywiście trudno przypisywać jakiejś kategorii danych wyłącznie „prywatny” lub „publiczny” charakter. Dla praktyki stosowania przepisów udip i rodo bardzo istotne okazuje się opisywane przez autorkę zjawisko tzw. prywatności kontekstowej, które przybliża w swoich badaniach. Jak pokazuje doświadczenie organów stosujących prawo zaproponowane przez M. Sakowską-Baryłę, podejście dobrze się sprawdza i ma wpływ na praktykę stosowania udip wespół z rodo. Sprowadza się ono do tego, że treść, rodzaj lub charakter informacji o różnych osobach finalnie należy określać w konkretnych okolicznościach, uwzględniając kontekst, w którym one występują i w którym oczekuje się lub żąda, aby informacje były udostępnione [3].

Ograniczenie prawa dostępu do informacji publicznej ze względu na prywatność nie jest jedyną okolicznością, na którą powołuje się w praktyce. Przytacza się także prawo ochrony danych osobowych. Przy czym tych dwóch praw nie powinno się zrównywać. Są to bowiem niezależne od siebie reżimy, aczkolwiek zachodzą pomiędzy nimi wzajemne relacje.

Ochrona danych osobowych a prywatność

W art. 5 ust. 2 udip za podstawę ograniczenia prawa dostępu do informacji publicznej uznano prywatność osoby fizycznej, a nie ochronę danych osobowych. Nie można jednak nie dostrzec, że prywatność odnosimy zawsze do konkretnie zidentyfikowanej osoby fizycznej (art. 4 pkt 1 rodo). Zatem ograniczenie dostępu do informacji publicznej ze względu na prywatność osoby fizycznej będzie się sprowadzać do ograniczenia właśnie dostępu do informacji o konkretnej osobie. I nie ma tutaj znaczenia, że analizowany przepis nie odnosi się do tego. Jak słusznie zauważa się w literaturze przedmiotu, identyfikowalność jednostki jest tutaj wspólną cechą obszarów wyznaczanych jako „prawność” i „ochrona danych osobowych” [4].

Z perspektywy analizowanych tu zagadnień kluczowe jest przytoczenie ustaleń zawartych w wyroku Sądu Najwyższego z 8 listopada 2012 r., w którym stwierdzono, że:

do prywatnej sfery życia zalicza się przede wszystkim zdarzenia i okoliczności tworzące sferę życia osobistego i rodzinnego. Szczególny charakter tej dziedziny życia człowieka uzasadnia udzielenie jej silnej ochrony prawnej. Nie znaczy to, by każda informacja dotycząca określonej osoby była informacją z dziedziny jej życia osobistego. Reżim ochrony prawa do prywatności i reżim ochrony danych osobowych są wobec siebie niezależne. Niewątpliwie dochodzi przy tym do wzajemnych relacji i oddziaływania tych reżimów, w określonych bowiem sytuacjach faktycznych przetworzenie danych osobowych może spowodować naruszenie dobra osobistego w postaci prawa do prywatności albo ochrona prawa do prywatności będzie wymagała sprzeciwienia się wykorzystaniu danych osobowych [5].

Wyrok ten na wiele lat przed rozpoczęciem stosowania rodo potwierdził założenie, że nie wszystkie dane osobowe należą do sfery prywatności, choć bez wątpienia na prywatność składają się przede wszystkim dane osobowe konkretnego człowieka.

Które dane udostępniać?

Z przepisów udip nie wynika jednoznacznie, jakie dane osobowe mogą być udostępnione przy realizacji dostępu do informacji publicznej. Podmioty zobowiązane muszą każdorazowo dokonywać takich ustaleń. Muszą także samodzielnie ważyć te dwa prawa. Jest to zdecydowanie trudność, która prowadzi do wielu wątpliwości, czy pierwszeństwo dać dostępowi do informacji publicznej zawierającej dane osobowe, czy ze względu na ochronę danych osobowych nie ujawniać informacji, w tym danych osobowych. W licznych tego rodzaju wątpliwych sprawach niejednokrotnie musi rozstrzygać sąd, tak jak miało to miejsce w przypadku numerów ksiąg wieczystych.

W wyroku NSA z 28 stycznia 2025 r. (III OSK 6508/21) wskazano, że ujawnienie numeru księgi wieczystej pozwala na zidentyfikowanie osoby, której dane są w niej zawarte. Poprzez opublikowanie numerów ksiąg wieczystych na stronach internetowych dostęp do zawartych w nich informacji może uzyskać każdy zainteresowany użytkownik internetu. Zakres danych ujawnianych w księdze wieczystej osób fizycznych obejmuje m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości, informacje o hipotece. Łatwy dostęp do tych danych naraża bardzo dużą liczbę osób (których dane dotyczą) na ryzyko kradzieży ich tożsamości.

Orzecznictwo w tym zakresie zapewne przyczynia się do zmniejszania napięcia towarzyszącemu przesądzaniu, któremu z praw należałoby przyznać pierwszeństwo. Przytoczony problem z numerami ksiąg wieczystych, do których ujawniania zapewne dochodziło w wyniku udostępniania w trybie udip niezanonimizowanych w tym zakresie treści decyzji administracyjnych, jest przykładem właśnie ujawniania danych osobowych w wyniku m.in. niewystarczającego brzmienia przepisów.

Niewystarczające brzmienie przepisów ustawy o dostępie do informacji publicznej prowadzi zatem do sytuacji, w której podmiot zobowiązany z obawy przed odpowiedzialnością przewidzianą na gruncie rodo nie będzie „prewencyjnie” udostępniać danych, ograniczając tym samym dostęp do informacji publicznej.

Czy obawa przed udostępnianiem danych osobowych jest nadmierna?

Można postawić tezę, że obawa przed udostępnianiem danych osobowych w związku z dostępem do informacji publicznej jest nadmierna, choć z racji wielu wątpliwości interpretacyjnych istniejących przy stosowaniu udip w jakiejś mierze jest uzasadniona.

Warto w tym miejscu przywołać treść art. 86 rodo zatytułowanego Przetwarzanie a publiczny dostęp do dokumentów urzędowych. Zgodnie z tym przepisem dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny do wykonania zadania realizowanego w interesie publicznym, mogą zostać ujawnione przez ten organ lub podmiot zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Jednocześnie w motywie 154 preambuły rodo wskazano, że to rozporządzenie pozwala uwzględnić przy stosowaniu jego przepisów zasadę publicznego dostępu do dokumentów urzędowych. Publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny. Przy czym organ publiczny lub podmiot publiczny powinny móc publicznie ujawniać dane osobowe z dokumentów przez siebie przechowywanych, jeżeli takie ujawnienie jest przewidziane przepisami prawa Unii lub prawa państwa członkowskiego, któremu ten organ lub podmiot podlegają.

W tym samym motywie jest mowa o tym, że takie przepisy powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych. Dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie rodo. Przy stosowaniu udip zdecydowanie kłopotliwy jest fakt, że przepisy tej ustawy nie zostały dostosowane do rodo w sposób, o jakim mowa w przywołanym motywie tego aktu. Trudność polega na tym, że godzenie prawa dostępu z prawem do ochrony danych osobowych zostało „przerzucone” na podmioty, które stosują prawo. Pomocne w tym zakresie są ustalenia orzecznictwa oraz piśmiennictwa. Z perspektywy praktyki szczególnie godne uwagi są przywołane wyżej opracowania M. Sakowskiej Baryły, ponieważ zdecydowanie ułatwiają współstosowanie udip z przepisami rodo.

Przypisy

1. 1 M. Sakowska-Baryła, komentarz do art. 5, [w:] Ustawa o dostępie do informacji publicznej. Komentarz, red. A. Piskorz-Ryń, M. Sakowska-Baryła, Warszawa 2023; M. Sakowska-Baryła, Ochrona danych osobowych a dostęp do informacji publicznej i ponowne wykorzystywanie informacji sektora publicznego, Warszawa 2022, s. 107.
2. M. Sakowska-Baryła, komentarz do art. 5, [w:] Ustawa…, dz. cyt., Lex pkt 21.
3. Tamże, pkt 25.
4. Tamże.
5. Wyrok SN z 8 listopada 2012 r., I CSK 190/12.

Autor

Beata Konieczna-Drzewiecka

Autorka jest doktorem nauk prawnych, IOD w Ministerstwie Spraw Wewnętrznych i Administracji.