Po uchwaleniu ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm., dalej: RODO), która to ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, wiele instytucji publicznych miało problemy z funkcjonowaniem w nowych realiach wyznaczonych przez RODO. Wskazany problem dotyczył także udostępniania informacji w Biuletynie Informacji Publicznej (dalej: BIP, biuletyn).
Problemem w tej sprawie jest zawiłość przepisów, które nie precyzują jakie informacje należy publikować w Biuletynie Informacji Publicznej. W praktyce ciężar podjęcia decyzji spada na administratora BIP. Upublicznienie informacji chronionej przepisami RODO jest czynem zabronionym zagrożonym karą.
Administratorzy biuletynów zaczęli wykorzystywać na swoją korzyść niejasne zapisy ustawy. Wydaje się, że zapomnieli oni, że ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. z 2001 r. nr 112, poz. 1198 ze zm.) nie wskazuje przesłanki ograniczenia dostępu do informacji publicznej związanej z RODO. Co więcej nie zakazuje udostępniania danych osobowych w związku z dostępem do informacji publicznej, ale każe godzić dostęp z prawem do ochrony danych osobowych.
“Publikowanie w BIP podlega rygorowi ustawy o dostępie do informacji publicznej, a ona w ogóle nie odnosi się do danych osobowych. Przed publikacją należy ustalić, czy mamy do czynienia z informacją publiczną, a do takich należy zarządzenie burmistrza. Następnie określamy, czy informacja zawiera treści, które mogłyby być objęte ograniczeniami z art. 5 ustawy o dostępie do informacji publicznej, który określa podstawy ograniczenia dostępu do informacji publicznej” – tłumaczy dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p. w wywiadzie dla portalu prawo.pl
“Z punktu widzenia danych osobowych ważne jest przede wszystkim dokonanie tych ustaleń w kontekście prywatności jednostki. Jeśli uznamy, że są w zarządzeniu burmistrza takie informacje, nie będziemy udostępniać ich z uwagi na prywatność, a nie z uwagi na RODO, jeśli ustalimy, że informacje nie dotyczą prywatności, a informacja stanowi informację publiczną, wtedy zastanawiamy się nad przesłankami dopuszczalności przetwarzania danych i nad zasadami rozliczalności z RODO” – wyjaśnia dr Sakowska-Baryła. Jak dodaje, “nieuprawnione jest myślenie: nie udostępniamy, bo jest RODO – to nadmierny skrót myślowy i jego wprowadzanie w życie grozi naruszeniem prawa” – dodaje.
Niestety konflikt pomiędzy RODO, a BIP ma nieco więcej punktów stycznych. Przepisy nie wskazują na to, w jakich sytuacjach i jakie informacje należy z BIP usunąć z uwagi na ochronę danych osobowych, albo zbyt długi czas publikacji. Wygląda na to, że nie ma żadnego prawnego rozwiązania, które może pomóc wyjść z tej patowej sytuacji. W związku z tym każdy administrator sam musi dokonać oceny i ustalić, jak długo mają być opublikowane informacje w zarządzanym przez niego biuletynie.
Więcej niepewności w działania urzędów wprowadziły pierwsze decyzje Prezesa Urzędu Ochrony Danych Osobowych, której skutkiem były kary za upublicznianie w BIP informacji, które nie powinny być powszechnie dostępne np. decyzji, których przedmiotem jest nabór urzędniczy sprzed 10 lat.
Cała sytuacja wydaje się problematyczna i ciężko znaleźć w niej właściwe rozwiązanie. Niemniej krokiem naprzód, który może ułatwić funkcjonowanie urzędnikom i urzędom byłaby zmiana modelu decyzyjnego. Administrator nie powinien podejmować decyzji sam, ale w porozumieniu ze specjalistami z zakresu dziedzin, których dotyczy informacja. Poza tym należy zwracać uwagę na to, czy sprawa wcześniej nie została rozstrzygnięta przez orzecznictwo sądów administracyjnych.
Poza tym, żeby uniknąć kar administratorzy powinni zwracać uwagę czy ich działania są zgodne z art. 86 RODO. Należy tutaj wymienić dwa obszary:
- kwestia dopuszczalności informacji – czy z perspektywy ochrony danych jesteśmy uprawnieni do przetwarzania danych (art. 5-6 i 9 RODO);
- obszar administracyjny – kwestia zabezpieczeń, powierzeń, realizacji obowiązków informacyjnych, faktycznej obsługi osób, których dane dotyczą.
W kwestie związane z publikacją należy zaangażować także inspektora danych osobowych i wspólnie z nim analizować dane, które mają zostać upublicznione. Szczególną ostrożność należy przyłożyć do informacji związanych ze sferą prywatności. Należy przypomnieć, że pojęcie prywatności nie jest zdefiniowane w prawie, ale pomocne w tym przypadku może okazać się orzecznictwo, które wskazuje, że do takich informacji można zaliczyć m.in.: informacje o stanie zdrowia, o korzystaniu z zakładowego funduszu świadczeń socjalnych, prywatny mail, numer telefonu czy informacje o rodzinie.
0 Koment.