Udostępnianie informacji publicznej wiąże się z licznymi obowiązkami związanymi z ochroną prywatności, w tym z poszanowaniem standardów ochrony danych osobowych. Dlatego istnieje pewna korelacja między przepisami unijnego rodo a ustawy o dostępie do informacji publicznej. Wskazanie wzorca proceduralnego tej współpracy wydaje się niezbędne.

W praktyce funkcjonowania wielu zobowiązanych w rozumieniu przepisów ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (dalej: udip) bardzo często pojawia się kwestia tego, jaka jest relacja między przepisami owego aktu a rodo. Fakt konieczności „pogodzenia” dostępu do informacji publicznych z ochroną danych – do czego zobowiązuje nas Konstytucja RP, ale również art. 86 rodo – wymaga zatem wskazania konkretnego wzorca proceduralnego z uwzględnieniem – co tu ważne – autonomiczności „mechanizmu” ochrony prywatności na podstawie udip. Celem jego zastosowania będzie możliwość sprawdzania (zweryfikowania), czy udostępnienie konkretnej informacji publicznej przez zobowiązanego w rozumieniu udip (będącego jednocześnie administratorem w rozumieniu rodo) nie będzie prowadzić do naruszenia prywatności traktowanej przynajmniej jako jedno z potencjalnie naruszanych praw jednostki. W kontekście dopuszczalności przetwarzania obejmie to zwłaszcza te dane, których podmiotem są osoby fizyczne niepełniące funkcji publicznej, będące jednocześnie informacją publiczną.

Konsekwencje błędnego udostępnienia informacji publicznej

W niedawnym rozstrzygnięciu (decyzja z 14 marca 2023 r.) Prezes UODO nałożył na jedną z prokuratur rejonowych administracyjną karę pieniężną w wysokości 20 tys. zł. Organ uznał, że zobowiązany/administrator, udostępniając na podstawie udip dziennikarzowi niezanonimizowane dane dotyczące trzech osób znajdujące się w aktach zakończonego postępowania przygotowawczego, dopuścił się naruszenia art. 33 ust. 1 i art. 34 rodo. W uzasadnieniu wskazał, że każdy z administratorów, jeśli podejmuje działania na podstawie przepisów udip, powinien:

• dokonać oceny ryzyka naruszenia praw lub wolności osoby fizycznej;
• zawiadomić, w razie stwierdzenia istnienia wysokiego ryzyka, o tym fakcie taką osobę, w przeciwnym razie „pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować doniosłe konsekwencje dla niej”;
• dokonać zgłoszenia naruszenia ochrony danych organowi nadzorczemu, co w konsekwencji nie pozwala na zweryfikowanie tego, czy właśnie jako administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, a także czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Trudno się nie zgodzić z koniecznością wykonania wskazanych kroków w sytuacji, w której administrator (będąc jednocześnie podmiotem zobowiązanym do udostępnienia informacji publicznej) uzna, że miało miejsce naruszenie zasad udip poprzez udostępnienie danych osobowych wykraczających poza zakres informacji publicznej lub chronionych z uwagi na tajemnicę lub prywatność (w ramach art. 5 udip). Nie można jednak z decyzji Prezesa UODO wyciągać zbyt daleko idących wniosków, a zwłaszcza próbować odnosić wskazane w niej działania do każdego udostępnienia danych osobowych w ramach udip lub ustawy z dnia 26 stycznia 1984 r. Prawo prasowe.

Przesłanki ograniczające udostępnienie danych

Z perspektywy dostępu do informacji publicznej ochrona prywatności ma miejsce tylko wtedy, gdy żądana informacja jest informacją publiczną w rozumieniu art. 1 ust. 1 udip. Jeśli natomiast zobowiązany w rozumieniu udip uznaje, że nie stanowi ona informacji publicznej, zawiadamia o tym wnioskodawcę lub udostępnia np. kopię dokumentu z wyłączeniem określonego jego fragmentu. Czynności te podejmowane są z mocy prawa wyłącznie na podstawie przepisów udip. Zobowiązany w rozumieniu udip nie ma przy tym obowiązku podejmowania działań informacyjnych względem osoby, której prywatność chroni (bo chroni ją z urzędu), stosując art. 5 ust. 2 udip, jego działania są legalizowane w zakresie procedury dostępowej.

Jeżeli dane osobowe w konkretnym przypadku stanowią informację publiczną i będą mogły zostać (przynajmniej potencjalnie) udostępnione, na administratorze spoczywa obowiązek zbadania, czy poprzez takie działanie nie będzie jednak dochodziło do naruszenia prawa do prywatności osób, których owe dane dotyczą.

Udostępnienie danych osoby pełniącej funkcję publiczną

Z uwagi na fakt, że możliwość naruszenia prywatności, zdaniem ustawodawcy, nie dotyczy udostępniania informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji (in fine z art. 5 ust. 2 udip), zobowiązany/administrator musi uprzednio (wobec faktu udostępnienia) ocenić, kto ową funkcję pełni i czy informacja ma z nią związek. Nawet teoretycznie nie jest to jednak zadanie łatwe, a ponadto orzecznictwu sądowemu w tych sprawach daleko do jednolitości. Spoczywa ono jednak całkowicie na zobowiązanym do rozpatrzenia żądania (jednocześnie administratorze) i dokonywane jest bez konsultacji z osobami objętymi udostępnieniem czy tym bardziej z Prezesem UODO.

Dlatego, biorąc pod uwagę wymogi rodo i dość krótkie terminy załatwienia wniosku wynikające z udip, podmiot zobowiązany do udostępnienia powinien się do tego procesu przygotować. Będzie to polegało na dokonaniu mapowania stanowisk bądź osób (również zbiorczych klas tych podmiotów), które w jego ocenie pełnią funkcje publiczne, oraz przypisaniu konkretnym kategoriom informacji cech pozwalających na wykazanie związku z pełnionymi przez nie funkcjami. Udokumentowane działania uprzednie gwarantują rozliczalność procesu przetwarzania danych w ramach udip (co służy wykazaniu przeprowadzenia oceny zasadności ochrony prywatności w rozumieniu art. 5 ust. 2) i co ważne – skracają czas potrzebny na przygotowanie informacji podlegającej udostępnieniu. Relatywnie łatwo jest także przygotować i wdrożyć adekwatną do dokonanych ustaleń procedurę dostępową.

Udostępnienie danych osoby niepełniącej funkcji publicznej

Sytuacja komplikuje się jeszcze bardziej w przypadku uznania, że w procesie udostępniania mamy do czynienia z informacją publiczną o osobie innej niż pełniąca funkcję publiczną. Należy jednak podkreślić, że będzie to raczej zdarzenie dość rzadkie, gdyż najczęściej informacja o takiej osobie nie stanowi informacji publicznej i podmiot zobowiązany (administrator) powinien zachować się tak, jak wskazaliśmy wyżej. W takiej wyjątkowej sytuacji, jak słusznie wskazuje Marlena Sakowska-Baryła (Ustawa o dostępie do informacji publicznej. Komentarz, red. A. Piskorz-Ryń, M. Sakowska-Baryła, Warszawa 2023, s. 174):

podmiot zobowiązany musi za każdym razem stwierdzić, że nie zachodzą przesłanki ograniczające dostęp do informacji. Chodzi tu o analizę, czy żądana informacja jest niezbędna z punktu widzenia celów prawa do informacji publicznej, czy nie narusza prywatności osoby, której taka informacja dotyczy.

Owa niezbędność postrzegana w kontekście celów wynika, co ciekawe, m.in. z rodo, a ściślej rzecz ujmując, z zasady minimalizacji danych (art. 5 ust. 1 lit. c rodo). Nie należy też pomijać art. 51 Konstytucji RP, w którym wskazuje się m.in. na nakaz ustawowego określania obowiązku ujawniania danych. Współstosowanie wszystkich tych przepisów sprawia, że uznanie, iż udostępnienie jest niezbędne w demokratycznym państwie prawnym, pozwala (w ramach rodo) widzieć ów proces jako posiadający podstawę ustawową, a zatem potencjalnie zgodny z zasadami ochrony danych.

W tym miejscu pojawia się jednak konieczność wypracowania procedury, w ramach której podmiot zobowiązany do udostępnienia oceni, czy konkretne informacje obejmują sferę prywatności, a jeśli tak, to czy jednak interes publiczny nie znajdzie się w pozycji nadrzędnej nad koniecznością jej ochrony. Kwalifikacja ta ma charakter zindywidualizowany i zarówno odpowiedzi twierdzące, jak i negujące możliwość ujawnienia danych osobowych powinny być wykazywane w ramach postępowania. W przypadku zanegowania możliwości udostępnienia informacji uznanej za publiczną argumenty wskazujące na przyczyny tego stanu pojawią się w uzasadnieniu decyzji o odmowie jej udostępnienia. Przy udostępnianiu przeprowadzona analiza i ewentualny test ważenia interesów powinny znaleźć się w dokumentacji danego postępowania choćby dlatego, że wymaga tego rozliczalność procesu przetwarzania danych osobowych i może być to przedmiotem kontroli ze strony Prezesa UODO. Organ nie będzie przy tym uprawniony do kontroli faktu udostępnienia, a jedynie do badania przygotowania i zastosowania procedury respektującej wymogi rodo.

Autorzy

Mariusz Jabłoński

Autor jest profesorem zwyczajnym dr hab. nauk prawnych; kierownikiem Katedry Prawa Konstytucyjnego na WPAiE UWr i Podyplomowego Studium Ochrony Danych Osobowych; radcą prawnym, wspólnikiem w Leximum Jabłoński i Wspólnicy sp. z o.o. sp. k., prelegentem.

Krzysztof Wygoda

Autor jest doktorem nauk prawnych i adiunktem na WPAiE UWr; wspólnikiem w Leximum Jabłoński i Wspólnicy sp. z o.o. sp. k., prelegentem.