Jako obywatele coraz częściej chcemy wiedzieć, w jaki sposób działa władza, jak podejmowane są istotne dla nas decyzje i na co wydawane są publiczne pieniądze. Informacje takie pozwalają nam na podejmowanie przemyślanych decyzji, co jest szczególnie istotne w okresach przedwyborczych, gdy m.in. dotychczasowe działania rządzących często warunkują nasze preferencje co do przyszłej władzy.
Wskazanym wyżej celom służyć ma prawo do informacji. To właśnie ono ma zapewniać jednostce możliwość pozyskiwania wiedzy, a w konsekwencji podejmowania rozsądnych i racjonalnych decyzji w oparciu o możliwie pełny obraz, a także sprawowanie kontroli nad władzą i eliminowanie zachowań naruszających standardy demokratyczne[1]. Stanowi też warunek niezbędny dla istnienia współczesnej demokracji i społeczeństwa obywatelskiego[2]. Już w toku procesu legislacyjnego nad ustawą z 6.09.2001 r. o dostępie do informacji publicznej[3] w stanowisku rządu wskazano, że „właściwa realizacja prawa obywatela do tego, aby wiedzieć, traktowana jest przez współczesną społeczność międzynarodową jako miernik praworządności, a otwartość struktur władzy traktowana jest jako miernik demokratycznego państw. Tylko złe rządy potrzebują ukrywać swoje działania przed obywatelami”[4].
Praktyczny aspekt prawa do informacji ma jednak szerszy wymiar niż sama możliwość jej pozyskania. Nie powinno bowiem budzić wątpliwości, że uzyskanie takiej informacji przez jednostkę pozwala jej jedynie na zaspokojenie swojej ciekawości. Osiągnięcie wskazanych wyżej celów społecznych wymaga natomiast dzielenia się uzyskaną informacją i tworzenie stanu, w którym każda osoba zainteresowana może się z taką informacją zapoznać – aby była ona powszechna i faktycznie dostępna[5].
Powyższa teza wymaga z kolei ustalenia statusu wnioskodawcy na gruncie przepisów o ochronie danych osobowych, gdyż wraz z informacją publiczną udostępnione mogą zostać dane osobowe w niej zawarte. Konieczne jest więc dokonanie analizy przepisów RODO z perspektywy tego, czy wnioskodawca, uzyskując taką informację, staje się administratorem zawartych w niej danych osobowych, a także kto ponosi odpowiedzialność za takie dane. Temu właśnie służyć ma niniejszy artykuł.
Rozpowszechnianie informacji publicznej
Dla dalszych rozważań poczynionych w artykule kluczowe znaczenie ma odpowiedź na pytanie – czy wnioskodawca, uzyskując informację publiczną, może się nią swobodnie dzielić, szczególnie gdy zawiera ona dane osobowe? To właśnie rozpowszechnianie uzyskanej informacji stanowi bowiem główny problem z perspektywy ochrony danych osobowych.
Aby informacja mogła spełniać swoją funkcję, powinna dotrzeć do jak najszerszego grona odbiorców. Przejawem urzeczywistnienia tego celu są Biuletyny Informacji Publicznej, które z założenia miały stanowić podstawowe źródło dostępu do informacji[6], zapewniające każdemu możliwość natychmiastowego, nieograniczonego w czasie i anonimowego zapoznania się z informacją publiczną[7] oraz jej ponownego wykorzystania, o czym przesądza art. 5 pkt 1 ustawy z 11.08.2021 r. o otwartych danych i ponownym wykorzystaniu informacji sektora publicznego[8]. W praktyce nie odgrywają one jednak tak istotnej roli, ponieważ organy publikują w nich zazwyczaj minimalny zakres danych wymagany od nich expressis verbis przez ustawy. Obywatele, chcąc uzyskać interesującą ich informację, nadal muszą korzystać z wniosku o jej udostępnienie jako podstawowego narzędzia.
Warto zwrócić uwagę, że w przypadku Biuletynów Informacji Publicznej nie budzi wątpliwości, że zawarte w nich informacje są rozpowszechnione i dostępne dla każdej zainteresowanej osoby. Mając na uwadze, że ani Konstytucja ani ustawa o dostępnie do informacji publicznej nie różnicują informacji ze względu na to, w jaki sposób została udostępniona, zasadne jest przyjęcie, że niezależnie od formy jej udostępnienia, w momencie jej przekazania przez organ staje się ona publiczna. Nieuprawnione, jako niemające oparcia w prawie, byłoby przyjęcie, że informacja udostępniona na wniosek jest publiczna tylko dla wnioskodawcy, który powinien chronić dostępu do niej innym osobom. Takie rozwiązanie byłoby też niezgodne z językową wykładnią pojęcia „informacja publiczna”, która nakazuje przyjąć, że jest to informacja dotycząca całego społeczeństwa lub jakiejś zbiorowości, dostępna lub przeznaczona dla wszystkich[9].
Należy więc uznać, że co do zasady udostępnienie informacji publicznej na wniosek nie zmienia jej charakteru z publicznej na dostępną jedynie dla wnioskodawcy, a przez to osoba uzyskująca taką informację może ją dalej rozpowszechniać w niezmienionym kształcie.
Jedynie na marginesie należy podkreślić, że dla potrzeb niniejszego artykułu przyjęto, że rozpowszechnieniem jest dalsze przekazanie uzyskanej informacji publicznej, co do zasady w niezmienionej formie, np. opublikowanie odpowiedzi uzyskanej od podmiotu zobowiązanego w mediach społecznościowych czy na stronie internetowej.
Poza zakresem artykułu znajduje się natomiast ponowne wykorzystanie takiej informacji, które podlega przepisom ustawy o otwartych danych. Mielibyśmy z nim do czynienia, gdyby wnioskodawca pozyskiwał lub wykorzystywał informacje w celach użytkowych – ekonomicznych lub nieekonomicznych[10], np. w celu opracowania strony internetowej agregującej informacje o kandydatach wyborczych, stworzenia aplikacji śledzącej ruch autobusów komunikacji miejskiej itd.
Informacja publiczna a dane osobowe
Wiedząc już, że wnioskodawca może korzystać z uzyskanej informacji publicznej, w tym może ją dalej rozpowszechniać, konieczne staje się udzielenie odpowiedzi, czy działania takie nie mogą wejść w konflikt z przepisami o ochronie danych osobowych – w szczególności z RODO.
Aby odpowiedzieć na ww. pytanie, trzeba w pierwszej kolejności odwołać się do definicji danych osobowych. Te zaś na gruncie art. 4 pkt 1 RODO rozumiane są jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osobą zidentyfikowaną jest taka, której tożsamość znamy i którą możemy wyróżnić w grupie osób[11]. Identyfikacja ta nie musi odbywać się w oparciu o imię i nazwisko, czy inne dane, które powszechnie rozumiemy jako dane osobowe – np. PESEL. Może ona nastąpić na podstawie znacznie bardziej generalnych informacji:
Przykład: jeżeli w informacji publicznej znajdzie się informacja o „osobie sprawującej obecnie funkcje Prezydenta m.st. Warszawy”, niewątpliwie każdy z jej odbiorców będzie wiedział, o kogo konkretnie chodzi – będzie to więc dla niego osoba zidentyfikowana.
Możliwą do zidentyfikowania osobą fizyczną jest z kolei taka, której tożsamość nie jest nam jeszcze znana, ale którą możemy ustalić bezpośrednio lub pośrednio, np. w oparciu o imię i nazwisko, PESEL, NIP. Nie ma przy tym znaczenia, czy faktycznie administrator podejmie takie działania, lecz istotna jest sama możliwość ich podjęcia, nawet gdyby wiązała się z połączeniem ze sobą różnych informacji:
Przykład: jeżeli w informacji publicznej znajdą się numery NIP przedsiębiorców prowadzących działalność gospodarczą, niewątpliwie dla odbiorcy takiej informacji będą to dane osobowe. Bez trudu może ona powiązać takie numery z konkretnymi przedsiębiorcami przy skorzystaniu z Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG).
Na gruncie RODO danymi osobowymi będą nie tylko dane osób fizycznych w potocznym rozumieniu – czyli po prostu jednostek, ale też dane osób fizycznych prowadzących działalność gospodarczą (np. dane ujawnione w CEIDG) czy też osób sprawujących funkcje publiczne. Wskazany akt nie różnicuje bowiem ochrony ww. kategorii osób. Intensywność tej ochrony jest jednak niższa z mocy przepisów krajowych[12], co w przypadku przedsiębiorców przejawia się w obowiązku ujawnienia pewnych danych w CEIDG, zaś w przypadku osób sprawujących funkcje publiczne – przejawia się w publicznym charakterze pewnych informacji o danej osobie.
Mając na uwadze definicje danych osobowych, należy przyjąć, że wraz z informacją publiczną wnioskodawca może wejść w posiadanie danych osobowych:
- piastuna organu lub występującego w jego imieniu urzędnika realizującego wniosek,
- osób pełniących funkcje publiczne, mających związek z pełnieniem funkcji,
- osób pełniących funkcje publiczne, w zakresie niezwiązanym ze sprawowaną funkcją publiczną,
- osób niepełniących funkcji publicznej, które rezygnują z przysługującego im prawa do prywatności na podstawie art. 5 ust. 2 UDIP,
- osób trzecich, które nie są osobami pełniącymi funkcje publiczne i które nie zrezygnowały z przysługującej im ochrony albo będących osobami pełniącymi funkcje publiczne – w zakresie danych niezwiązanych z pełnieniem funkcji.
Warto podkreślić, że pojawienie się w informacji publicznej danych osób, o których mowa w punktach 1-4, jest co do zasady dopuszczalne, a często wręcz niezbędne. Odmiennie należy ocenić ujawnienie przez podmiot zobowiązany w informacji publicznej danych, o których mowa w punkcie 5. Taka sytuacja z zasady stanowić będzie naruszenie przez podmiot zobowiązany obowiązku przewidzianego w art. 5 ust. 2 RODO, czyli ograniczeniu prawa do informacji publicznej w celu ochrony prywatności osób fizycznych, których dane dotyczą.
Kolejnym istotnym zagadnieniem jest odpowiedź na pytanie, czy wnioskodawca przetwarza ww. dane osobowe. Trzeba bowiem pamiętać, że przepisy o ochronie danych osobowych nie chronią danych samych w sobie, lecz zapewniają ochronę jednostkom w związku z przetwarzaniem takich danych osobowych – określają więc one zasady i wyznaczają granice przetwarzania. Definicja przetwarzania zawarta została w art. 4 pkt 2 RODO. W najprostszym ujęciu można przyjąć, że są to wszelkie operacje wykonywane na danych osobowych, w szczególności ich zbieranie, przechowywanie, przeglądanie, wykorzystywanie, rozpowszechnianie lub innego rodzaju udostępnianie. Nie pozostawia to złudzeń, że wnioskodawca, który w odpowiedzi na swój wniosek uzyska informację publiczną zawierającą dane osobowe, dokonuje ich przetwarzania i to niezależnie od tego, czy zdecyduje się rozpowszechnić uzyskaną informację, czy jedynie zapozna się z nią i pozostawi ją dla siebie.
Status wnioskodawcy na gruncie RODO
Wobec powyższych rozważań kluczowym zagadnieniem wydaje się ustalenie, jaka jest rola wnioskodawcy na gruncie RODO, a w szczególności czy wnioskodawca, który uzyska informację publiczną zawierającą dane osobowe, staje się wobec tych danych administratorem danych.
W pierwszej kolejności trzeba wyjaśnić, że RODO nie znajduje zastosowania do przetwarzania danych osobowych przez osoby fizyczne w ramach działalności o czysto osobistym lub domowym charakterze, co wynika z art. 2 ust. 2 lit. c RODO. Czynności o charakterze osobistym wiąże się z czynnościami ściśle i obiektywnie związanymi z życiem prywatnym osoby, które nie naruszają w sposób dotkliwy sfery osobistej innych. Z kolej czynności o charakterze domowym związane są z życiem rodzinnym i normalnie mają miejsce w ramach gospodarstwa domowego lub innych miejscach dzielonych z członkami rodziny[13]. W motywie 18 RODO wyjaśniono, że chodzi o taką działalność, która pozostaje bez związku z działalnością zawodową lub handlową, np. korespondencję i przechowywanie adresów, podtrzymywanie więzi społecznych, także poprzez działalność internetową. W doktrynie wskazano również, że czynnościami tego typu nie będą też te podejmowane w ramach działalności społecznej, czy to bezpośrednio przez same stowarzyszenia lub fundacje – jako niebędące osobami fizycznymi, czy też przez ich członków/wolontariuszy, którzy działają w ramach takich podmiotów[14]. Trudno uznać, że działania społeczne mają czysto osobisty charakter – co do zasady mają bowiem służyć szerszej grupie osób, a przez to mogą też w większym zakresie ingerować w prywatność osób fizycznych, których te działania dotyczą.
Warto podkreślić, że wskazana przesłanka jest pojemna i nie można z góry przewidzieć wszystkich sytuacji, które mogą być nią objęte. Przykładowo, Grupa Robocza Art. 29 uznała, że w zbiorze takich czynności mieści się aktywność na portalach społecznościowych, o ile treści publikowane są w taki sposób, że dostęp do nich ma ograniczona grupa osób, samodzielnie wybrana przez użytkownika[15].
Więcej wątpliwości nasuwa status innych osób, w szczególności stowarzyszeń, fundacji lub przedsiębiorców, którzy uzyskują informację publiczną i decydują się na jej rozpowszechnienie.
Dla dokonania analizy statusu ww. osób konieczne jest wskazanie, że zgodnie z art. 4 pkt 1 RODO administratorem danych jest osoba fizyczna lub prawna, organ publiczny lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Celem przetwarzania są wartości, dla urzeczywistnienia których dochodzić będzie do przetwarzania danych, zaś sposobem przetwarzania są techniczne aspekty tej czynności, dobór narzędzi itd. [16]
Zagadnienie statusu ww. osób z perspektywy danych osobowych nie doczekało się szerszego omówienia w doktrynie, jak też nie zostało poruszone przez organ nadzorczy w żadnej z dostępnych decyzji. W doktrynie można co prawda spotkać pogląd, że odbiorca informacji publicznej ma obowiązek zrealizować wobec osób, których dane znalazły się w informacji, wtórny obowiązek informacyjny, co zdaje się sugerować, że autorka tego poglądu uznaje wnioskodawcę za administratora danych[17]. Kwestia ta nie została jednak rozwinięta i uzasadniona.
Tymczasem uzasadnione jest odmienne podejście zakładające, że administratorem danych osobowych ujawnionych w informacji publicznej pozostaje podmiot zobowiązany, nie zaś osoba, która taką informację uzyskuje i następnie rozpowszechnia. Oczywiście takie założenie wymaga poczynienia pewnej uwagi wprowadzającej, a mianowicie przyjęcia, że rozpatrujemy rozpowszechnienie informacji publicznej w niezmienionej formie (wykorzystanie jej w celu rozpowszechnienia informacji publicznej). Odmiennej oceny wymaga bowiem sytuacja, gdy odbiorca informacji wykorzystuje zawarte w niej dane we własnym celu, innym niż realizacja prawa dostępu do informacji – ta kwestia pozostaje poza zakresem naszego zainteresowania, gdyż nie wiąże się z realizacja konstytucyjnego prawa do informacji.
W opisanej sytuacji to nie odbiorca informacji publicznej, lecz podmiot zobowiązany decyduje o celu przetwarzania danych. To ten podmiot określa, jakie konkretnie dane osobowe zostaną zawarte w informacji publicznej celem zapewnienia społeczeństwu dostępu do informacji publicznej oraz wykonania ciążącego na tym podmiocie obowiązku prawnego. Podmiot zobowiązany określa też sposób przetwarzania danych, decydując o formie ich udostępnienia/ujawnieniu. Nie ma przy tym znaczenia, co już wcześniej wskazałem, czy podmiot zobowiązany udostępnia informację na wniosek, czy też publikuje ją w BIP. Uznając, że konkretne dane powinny znaleźć się w informacji publicznej, organ przesądza o ich ujawnieniu – uczynieniu publicznym.
Według mnie w takim scenariuszu wnioskodawca jest na gruncie RODO stroną trzecią, która w art. 4 pkt 10 RODO zdefiniowana została jako osoba fizyczna lub prawna (…) inna niż osoba, której dane dotyczą, administrator, podmiot przetwarzający, czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. Uprawnienie takich osób do przetwarzania danych osobowych należy wywodzić z ich prawa podmiotowego do informacji oraz wolności jej rozpowszechniania.
Warto podkreślić, że odbiorca informacji publicznej co do zasady nie określa celu przetwarzania danych. Działa on natomiast w granicach celu oznaczonego przez podmiot zobowiązany – czyli w celu zapewnienia informacji publicznej jak najszerszemu gronu odbiorców. Co więcej, często zamiarem odbiorcy informacji publicznej w ogóle nie jest przetwarzanie danych samo w sobie, lecz jedynie szerzenie informacji jako takiej. Dane osobowe mogą nie mieć z tej perspektywy żadnego znaczenia.
Kwalifikowanie odbiorcy informacji publicznej jako administratora danych byłoby też niefunkcjonalne. Przerzucałoby to na wnioskodawcę konsekwencje potencjalnych zaniedbań podmiotu zobowiązanego. To zaś godziłoby w zasadę zaufania do organów władzy publicznej wywodzoną z zasady demokratycznego państwa prawnego ustanowionej w art. 2 Konstytucji RP. Odbiorca takiej informacji musiałby nie tylko realizować obowiązki administratora danych przewidziane przez RODO wobec osób, których dane znalazły się w informacji publicznej, lecz miałby też obowiązek oceny, czy zawarte w informacji publicznej dane nie są nadmiarowe. To zaś z perspektywy takiego podmiotu często byłoby znacznie utrudnione, a niejednokrotnie niemożliwe. Odbiorca informacji może bowiem nie dysponować wiedzą, czy np. osoby, których dotyczą dane zawarte w informacji przekazanej przez podmiot zobowiązany, sprawują funkcję publiczną. Tym bardziej taki odbiorca nie dysponuje wiedzą, czy osoba, której dane w informacji publicznej zostały zawarte, zrezygnowała z ochrony prywatności, do czego uprawnia ją art. 5 ust. 2 in fine UDIP.
Ponadto przyjęcie, że odbiorca informacji staje się administratorem zawartych w niej danych, prowadziłoby do wniosku, że taki sam status ma osoba, która jedynie pobiera na swój dysk i zapoznaje się z informacją publiczną dostępną w BIP – wszak czynności takie niewątpliwie stanowiłyby czynność przetwarzania w postaci pobierania, przechowywania i przeglądania. To zaś czyni taką wykładnie absurdalną.
Podsumowując tę część rozważań, należy według mnie przyjąć, że administratorem danych zawartych w informacji publicznej jest każdorazowo podmiot zobowiązany. Nie zmienia tego fakt, że informacja publiczna została dalej przekazana przez jej odbiorcę, gdyż działanie takie odbywa się w ramach pierwotnego udostępnienia informacji przez zobowiązanego. Osoba rozpowszechniająca taką informację, przez sam fakt dokonywania tej czynności, nie staje się administratorem, lecz jest strona trzecią, chyba że wykorzystuje ona zawarte w informacji publicznej dane do innych celów niż realizacja prawa do informacji, np. w celu prowadzenia z użyciem tych danych marketingu.
Odpowiedzialność za nadmiarowość danych w informacji publicznej
Udostępnienie informacji publicznej wielokrotnie będzie się wiązać z ujawnieniem danych osobowych, co nie będzie stanowiło naruszenia prawa, o ile będzie odbywało się w granicach wynikających z art. 5 ust. 2 UDIP. Wykroczenie poza te granice skutkować może natomiast naruszeniem ochrony danych osobowych w rozumieniu RODO. W uproszczeniu można wiec przyjąć, że podmiot zobowiązany może zgodnie z prawem ujawnić w informacji publicznej dane:
- osób pełniących funkcje publiczne, jeżeli związane są one z pełnieniem tej funkcji,
- osób niepełniących funkcji publicznych, jeżeli zrezygnowały one z ochrony prywatności, w tym również dane osób pełniących funkcje publiczne w zakresie danych niezwiązanych z pełnieniem tych funkcji, jeżeli osoby zrezygnują w tym zakresie z prawa do prywatności na podstawie art. 5 ust. 2 UDIP.
W przypadku danych osób wskazanych w punkcie 2 przyjmuje się, że możliwość ich przetwarzania i udostępnienia w informacji publicznej opiera się na zgodzie – zrównując zgodę na gruncie RODO z rezygnacją z przysługującego jednostce prawa do prywatności[18]. Z kolei ograniczenie prywatności osób sprawujących funkcję publiczną wynika z istoty takiej funkcji. W orzecznictwie Trybunału Konstytucyjny od dawna wskazuje się, że osoby sprawujące takie funkcje muszą liczyć się z obowiązkiem ujawnienia przynajmniej niektórych aspektów swojego życia prywatnego[19]. Wskazuje on również, że regulacja zawarta w art. 5 ust. 2 UDIP zapewnia odpowiednią gwarancję i pogodzenie wartości, którą jest prawo do informacji z prawem do prywatności osób pełniących funkcję publiczną[20].
Należy zatem stanowczo podkreślić, że co do zasady RODO nie stanowi przeszkody w udostępnieniu informacji publicznej. Potwierdza to orzecznictwo sądów administracyjnych – przykładowo wskazać można na wyrok NSA z 3.02.2022 r. w sprawie III OSK 1210/21, który wskazał, że: „RODO nie stanowi jednakże przeszkody w udostępnieniu informacji publicznej w trybie u.d.i.p. (…) udostępnienie informacji publicznej zawierającej dane osobowe odbywa się na zasadach wynikających z u.d.i.p. Podstawą ewentualnego ujawnienia danych osobowych mógł być tym samym przepis art. 5 ust. 2 u.d.i.p.”. W przypadku informacji publicznej zakres udostępnianych danych musi być więc oceniany przez pryzmat art. 5 ust. 2 UDIP. Przepis ten stanowi bowiem przewidziany w art. 86 RODO mechanizm godzenia prawa do ochrony danych osobowych z prawem do dostępu do publicznych dokumentów (prawem do informacji)[21].
Ewentualną odpowiedzialność za dane osobowe zawarte w informacji publicznej należy więc wiązać przede wszystkim z zamieszczeniem w takiej informacji danych nadmiarowych, czyli danych osób niepełniących funkcji publicznych, które nie wyraziły na to zgody. Przyjmując ww. tezę, że osoba uzyskująca i rozpowszechniająca informację publiczną nie staje się, co do zasady, jej administratorem, należy konsekwentnie wskazać, że odpowiedzialność za ewentualne nadmiarowe udostępnienie danych osobowych w informacji publicznej ponosi administrator – czyli podmiot zobowiązany, który informację udostępnił.
Czy zatem osoba rozpowszechniająca informację nie musi obawiać się żadnej odpowiedzialności? Niekoniecznie. Rozpatrując to zagadnienie na gruncie poszczególnych rodzajów odpowiedzialności, nasuwają się bowiem następujące spostrzeżenia:
- na gruncie art. 107 § 1 UODO kryminalizowane jest przetwarzanie danych osobowych, gdy ich przetwarzanie nie jest dopuszczalne albo gdy sprawca czynu nie jest do przetwarzania uprawniony. Przepis ten sprzężony jest z przepisami RODO i wymaga uwzględnienia przy jego interpretacji przepisów tego aktu.
Dopuszczalność przetwarzania danych osobowych może wynikać z różnych względów – podstawową przesłanką jest oczywiście status administratora lub podmiotu przetwarzającego i oparcie przetwarzania na jednej z podstaw legalizujących przetwarzanie danych, o których mowa w art. 6 lub art. 9 RODO[22]. Stwierdzenie jednak, że są to wyłączne przypadki dozwolonego przetwarzania danych byłoby znaczącym uproszczeniem. Trzeba bowiem pamiętać, że w pewnych sytuacjach RODO w ogóle nie znajduje zastosowania. Ponadto już sam ten akt wprost wskazuje np. na stronę trzecią, która nie będąc administratorem lub podmiotem przetwarzającym, może przetwarzać dane osobowe. Uprawnienia tego należy więc dochodzić np. w realizacji konstytucyjnych praw i wolności, w tym do pozyskiwania i rozpowszechniania informacji publicznej.
Powyższe powoduje, że rozpowszechnianie informacji publicznej – bez innego rodzaju wykorzystania danych w niej zawartych – mieści się w granicach prawa podmiotowego osoby rozpowszechniającej, a przez to nie może być uznane za niedopuszczalne, a osoba, która tego dokonuje nie może być uznana za nieuprawnioną. Dopuszczalności i uprawnienia kształtowana jest przez przepisy konstytucyjne oraz UDIP.
Odmiennej oceny wymagałaby opisana już wcześniej sytuacja, w której osoba uzyskująca informację publiczną, która została np. niewłaściwie zanonimizowana na skutek czego znalazły się w niej nadmiarowe dane osobowe, wykorzystuje takie dane do własnych celów niezwiązanych z realizacją uprawnienia do informacji. W takiej sytuacji podmiot taki staje się administratorem danych i powinien przetwarzać dane osobowe zgodnie z prawem. Samo wejście w posiadanie danych nie legalizuje ich przetwarzania w określonych celach. Tym samym taki podmiot nie może dowolnie korzystać z tych danych, a czynność taka może być uznana za wyczerpująca znamiona opisanego wyżej występku.
Przykład: w udostępnionej informacji publicznej znalazły się na skutek błędu pracownika podmiotu zobowiązanego prywatne numery telefonu i adresy e-mail wszystkich pracowników urzędu. Osoba, która uzyskała informację postanawia więc przesyłać na te dane oferty handlowe i zaproszenia do udziałów w organizowanych przez siebie konkursach. Działanie takie będzie co do zasady nielegalne, a przetwarzanie danych należy w takiej sytuacji uznać za niedopuszczalne.
Można rozważać, czy omawianego występku nie popełnia pracownik podmiotu zobowiązanego, który przetwarza określone dane osobowe na potrzeby udostępnienia informacji publicznej, jeżeli dane te są nadmiarowe i naruszają art. 5 ust. 2 UDIP. Ponieważ jednak artykuł dotyczy perspektywy wnioskodawcy, zagadnienie to nie jest przedmiotem naszego zainteresowania.
- nieprawidłowe przetwarzanie danych osobowych może też wiązać się z odpowiedzialnością cywilnoprawną, która w tym przypadku może mieć dwa reżimy. Pierwszym z nich jest odpowiedzialność przewidziana w art. 82 RODO zakładająca, że każda osoba, która poniosła szkodę majątkowa lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
W przypadku tej odpowiedzialności sprawa wydaje się w miarę prosta. Odbiorca informacji, który korzysta z niej w ramach prawa do informacji i wolności jej rozpowszechniania, zgodnie z przedstawionym wyżej stanowiskiem, nie jest administratorem danych ani podmiotem przetwarzającym. Tym samym nie ponosi odpowiedzialności na gruncie ww. przepisu. Niewątpliwie jednak odpowiedzialność taką może ponosić podmiot zobowiązany, który w sposób nieprawidłowy udostępni informację publiczną, na skutek czego dokona nadmiarowego, niezgodnego z UDIP, a tym samym z RODO, ujawnienia danych osobowych.
Drugi rodzaj odpowiedzialności to odpowiedzialność za naruszenie dóbr osobistych wynikająca z art. 23-24 Kodeksu cywilnego. W art. 24 KC przewidziano, że ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, a w szczególności złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.
Przesłankami ochrony dóbr osobistych, które muszą zostać spełnione łącznie, są: 1) istnienie dobra osobistego, 2) zagrożenie lub naruszenie tego dobra, 3) bezprawność zagrożenia lub naruszenia[23].
Co do zasady dane osobowe nie są uznawane za samodzielne dobra osobiste, lecz składają się na szerzej rozumiane dobro, którym jest prywatność[24]. W judykaturze zwraca się też uwagę, że samo przetwarzanie danych osobowych bez zgody zainteresowanego nie przesądza o naruszeniu dóbr osobistych i podstawie do uzyskania ochrony na podstawie art. 23 i art. 24 KC[25]. Na powodzie będzie więc ciążył obowiązek wykazania, że jego udostępnienie przez podmiot zobowiązany lub rozpowszechnienie przez odbiorcę informacji publicznej jego danych osobowych zagraża lub narusza skonkretyzowane dobro osobiste, np. jego prywatność, prawo do wizerunku.
W interesującej nas perspektywie wskazany przepis może znaleźć zastosowanie przede wszystkim do sytuacji, w której osoba uzyskująca informację publiczną rozpowszechnia ją z nadaniem jej pewnego, zasadniczo negatywnego kontekstu.
Przykład: osoba udostępnia uzyskaną informację publiczną na portalu społecznościowym – kanale ogólnodostępnym, dodając od siebie komentarz „zobaczcie, ile ci kłamcy i złodzieje zarobili w 2022 roku”.
Samo zaś rozpowszechnienie informacji publicznej, nawet takiej, która na skutek błędu organu zawiera dane osobowe nadmiarowe, nie powinno być uznane za naruszenie dóbr osobistych. Udostępniający zasadniczo nie wyczerpie bowiem przesłanki bezprawności. Ta rozumiana jest co do zasady jako sprzeczność zachowania z normami prawa lub zasadami współżycia społecznego, niezależnie od winy naruszyciela[26]. Zostaje ona uchylona, jeżeli działanie sprawcy znajduje oparcie w przepisach prawa, czy też stanowi wykonanie jego praw podmiotowych[27]. Odbiorca informacji publicznej korzystając z niej – poprzez jej dalsze przekazanie w niezmienionej formie, zasadniczo działa w granicach swojego prawa podmiotowego. Naruszenie omawianego dobra mogłoby więc nastąpić w razie ww. opatrzenia informacji dodatkowym komentarzem albo przedstawienia jej w innym negatywnym kontekście, czy też np. w razie zmodyfikowania informacji publicznej na skutek czego zawarte w niej informacje zaczęłyby godzić w dobra osobiste – np. zamazanie pewnych fragmentów informacji i opublikowanie tylko dogodnej dla danej osoby treści popierającej jakąś jego tezę.
- trzecim reżimem odpowiedzialności jest odpowiedzialność administracyjnoprawna przed Prezesem UODO. W tym zakresie nie wydaje się konieczne prowadzenie szerokich rozważań, bowiem na gruncie przepisów RODO odpowiedzialność taką ponoszą administratorzy danych i podmioty zobowiązane. Przyjmując zatem, że odbiorca informacji publicznej nie staje się administratorem danych zawartych w takiej informacji, należy przyjąć, że ww. organ nie dysponuje wobec niego kompetencjami nadzorczymi.
Konsekwencją powyższych rozważań jest też przyjęcie, że osoby, których dane dotyczą, mogą kierować swoje roszczenia, co do zasady, jedynie wobec podmiotu zobowiązanego, który wytworzył i udostępnił informację publiczną – jako do administratora danych. Ustalenie tego podmiotu nie powinno być trudne, biorąc pod uwagę, że zgodnie z art. 12 UDIP informacja publiczna udostępniona na wniosek powinna być oznaczona danymi określającymi podmiot udostępniający. Chodzi przy tym nie tylko o roszczenia związane z potencjalnym naruszeniem danych, ale też realizacją uprawnień przewidzianych w Rozdziale III RODO.
Jeśli wobec podmiotu zobowiązanego zostanie wysunięte takie żądanie przez osobę, której dane dotyczą i uzna on, że w ujawnionej informacji znajdują się nadmiarowe dane osobowe, powinien powiadomić o tym odbiorcę informacji. W takiej sytuacji odbiorca powinien w miarę możliwości zastosować się do wytycznych takiego podmiotu i np. usunąć informację zawierającą nadmiarowe dane osobowe ze swojej stron internetowej. Nie sposób jednak przyjąć, że na takim odbiorcy ciążyć będzie jakakolwiek odpowiedzialność za uchybienia podmiotu zobowiązanego, np. odpowiedzialność za ujawnienie danych osoby fizycznej bez jej zgody.
Podsumowanie
Podsumowując, prawo do informacji i wolność jej rozpowszechniania pozostają w ścisłej relacji z prawem do prywatności oraz prawem do ochrony danych osobowych. Każde z nich podlega jednak ograniczeniom, a pogodzeniem wyrażonych w tych prawa wartości są przepisy UDIP.
Podmiot zobowiązany ma zatem obowiązek udostępnienia informacji publicznej w takiej formie, która nie będzie naruszała prywatności osób fizycznych, a w szczególności która będzie zgodna z zakresem wynikającym z art. 5 ust. 2 UDIP. Uchybienia w tym zakresie obciążają wyłącznie podmiot zobowiązany.
Wnioskodawca uzyskujący informację publiczną jest uprawniony do jej rozpowszechniania, co wynika z przyznanej mu na gruncie Konstytucji RP oraz aktów prawa europejskiego i międzynarodowego wolności pozyskiwania i rozpowszechniania informacji. Na gruncie RODO należy przyjąć, że wnioskodawca taki nie staje się administratorem danych zawartych w informacji publicznej na skutek wyłącznie jej uzyskania, czy też przekazania jej dalej. Podmiot taki działa bowiem w granicach celu przetwarzania, za który odpowiada podmiot zobowiązany – i to ten podmiot pozostaje administratorem danych. Odbiorca informacji jest zaś stroną trzecią w rozumieniu RODO, zaś swoje prawo do przetwarzania danych wywodzi z regulacji konstytucyjnej oraz UDIP.
W razie naruszenia ochrony danych osobowych na skutek ujawnienia w informacji publicznej nadmiarowych danych osobowych, roszczenia powinny być kierowane do wytwórcy tej informacji – administratora danych, czyli podmiotu zobowiązanego. Ten podmiot jest jedynym uprawnionym do oceny, czy faktycznie w informacji publicznej znalazły się nadmiarowe dane, np. poprzez analizę, czy informacje te nie dotyczą osoby sprawującej funkcję publiczną albo czy nie wyraziła ona zgody na ich przetwarzanie.
Odbiorca informacji publicznej może natomiast ponosić odpowiedzialność przede wszystkim w razie wykorzystania danych osobowych zawartych w informacji publicznej w innych celach, np. w celach komercyjnych, marketingowych itd. Ponadto może on odpowiedzieć za naruszenie dóbr osobistych, jeżeli dane zawarte w informacji zostaną połączone z jego negatywnym komentarzem lub przedstawione zostaną w negatywnym kontekście, który godzić będzie np. w dobre imię osób, których dane dotyczą.
* Specjalista ds. ochrony danych osobowych, Członek Sieci Obywatelskiej Watchdog Polska
**Ekspertka prawa ochrony danych osobowych, Uniwersytet Łódzki
[1] Por. I. Kamińska, M. Rozbicka-Ostrowska, Ochrona danych osobowych a prawo do informacji publicznej, Warszawa 2021 r., s. 176.
[2] Por. I. Kamińska, M. Rozbicka-Ostrowska, Ochrona danych…,, s. 97.
[3] Dz.U.2022.902, dalej: „UDIP”
[4] Stanowisko Rady Ministrów do poselskiego projektu ustawy o dostępie do informacji publicznej (druk 2094) (https://orka.sejm.gov.pl/Rejestrd.nsf/0/B35D272BD26AA8B6C12569B90034775B/$file/2094-x.pdf; dostęp na 3.06.2023 r.)
[5] I. Kamińska, M. Rozbicka, Ochrona…, s. 97.
[6] M. Sakowska-Baryła, Ochrona danych osobowych a dostęp do informacji publiczne i ponownego wykorzystania informacji sektora publicznego, Warszawa 2022, s. 238
[7] B. Wilk, Prawne i praktyczne aspekty udostępniania informacji w Biuletynie Informacji Publicznej, Warszawa 2020, Legalis/el.
[8] Dz.U.2021.1641 (dalej: „ustawa o otwartych danych”)
[9] „publiczny” – Internetowy Słownik Języka Polskiego PWN (https://sjp.pwn.pl/sjp/publiczny;2573013.html; dostęp na 31.05.2023 r.).
[10] Opinia Grupy Roboczej Art. 29 4/2007, s. 12.
[11] Opinia Grupy Roboczej Art. 29 4/2007, s. 12.
[12] zob. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679… [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 4, s. 106-107, częściowo odmiennie: B. Fischer, M. Górski, A. Nerka, M. Sakowska-Baryła, K. Wygoda [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, art. 4, Legalis/el, którzy uważają, że intensywność ochrony, czyli procedur postępowania z danymi osobowymi, wobec wszystkich osób fizycznych jest taka sama.
[13] Opinia rzecznika generalnego Niila Jääskinena przedstawiona 10.07.2014, sygn. C‑212/13, pkt 51.
[14] Por. K. Wygoda, w: Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, Legalis/el, art. 2, teza 6, P. Fajgielski, Komentarz…, s. 93
[15] Opinia 5/2009 Grupy Roboczej Art. 29 w sprawie portali społecznościowych, przyjęta 12.06.2009 r., WP 163, wyrok TSUE z 6.11.2003 r. C-101/01 w sprawie LINDQVIST.
[16] Por. P. Litwiński, P. Barta, M. Kawecki, w: RODO, s. 219
[17] M. Sakowska-Baryła [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M. Sakowska-Baryła, Warszawa 2018, Legalis/el, art. 14 nb 6,
[18] Zob. A. Piskorz-Ryń, M. Sakowska-Baryła, E. Jarżęcka-Siwik, w: Ustawa o dostępie do informacji publicznej. Komentarz, red. M. Sakowska-Baryła, A. Piskorz-Ryń, Lex/el. 2023, art. 5 teza 81-82.
[19] Wyrok TKz 13.07.2004 r. K 20/03.
[20] Wyrok TK z 20.03.2006 r. K 17/05.
[21] Przeciwny pogląd prezentuje m.in. G. Sibiga, I. Małobecka-Szwast, Relacje prawa do informacji publicznej oraz prawa do ochrony danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO), MOP 2019, Nr 22 (dodatek). Zobacz też: P. Barta, P. Litwiński [w:] Ogólne rozporządzenie o ochronie danych osobowych…, którzy uznają, że RODO nie znajduje zastosowania do udostępnienia informacji publicznej.
[22] Por. J. Łuczak-Tarka, [w:] Ustawa o ochronie danych osobowych. Komentarz, red. D. Lubasz, Warszawa 2019, s. 531, szerzej przesłankę dopuszczalności przetwarzania danych osobowych ujmuje P. Poniatowski, który wskazuje, że w jej zakres wchodzi też m.in. przetwarzanie danych osobowych zgodnie z zasadami wyrażonymi w art. 5 RODO (P. Poniatowski, Niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych – aspekty karnoprawne, Prokuratura i Prawo 10, 2021, s. 73-77).
[23] P. Księżak [w:] Kodeks cywilny. Komentarz. Część ogólna, wyd. II, red. M. Pyzisak-Szafnicka, Warszawa 2014, s. 316.
[24] Por. wyrok Sądu Najwyższego z 13 grudnia 2018 r. I CSK 690/17.
[25] Wyrok Sądu Najwyższego z 28.04.2004 r. III CK 442/02.
[26] Por. A. Sylwestrzak [w:] Kodeks cywilny. Komentarz, red. M. Balwicka-Szczyrba, Warszawa 2022, s. 71.
[27] Por. A. Sylwestrzak [w:] Kodeks cywilny…, s. 71.
“Nie powinno bowiem budzić wątpliwości, że uzyskanie takiej informacji przez jednostkę pozwala jej jedynie na zaspokojenie swojej ciekawości.”
FAŁSZ!