Nowelizacja ustawy o ponownym wykorzystywaniu informacji sektora publicznego dostosowująca do przepisów RODO

A A A

Dnia 4.5.2019 r. weszły w życie przepisy ustawy wdrażającej, tzw. RODO sektorowe. Wśród wielu znowelizowanych ustaw zmieniono również przepisy o ponownym wykorzystywaniu informacji sektora publicznego. Nowa regulacja uwzględnia przepisy RODO i określa zasady dalszej eksploatacji informacji sektora publicznego zawierającej dane osobowe.


W ramach ustawy z 21.2.2019 r. zmieniającej 168 ustaw w związku z zapewnieniem stosowania ogólnego rozporządzenia o ochronie danych (tzw. RODO sektorowe1), znowelizowano również ustawę z 25.2.2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (t.j. Dz.U. z 2018 r. poz. 1243 ze zm.; dalej: InfSekPublU). Podstawowym celem zmian InfSekPublU było wykonanie dyspozycji zawartej w art. 86 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1; dalej: RODO), zgodnie z którym dane osobowe zawarte w dokumentach urzędowych, które posiada organ albo podmiot publiczny lub podmiot prywatny, w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych. Jego dopełnieniem, wyznaczającym wskazówki interpretacyjne, jest motyw 154 preambuły RODO, który pozwala uwzględnić - przy stosowaniu przepisów rozporządzenia - zasadę publicznego dostępu do dokumentów urzędowych. Przepisy krajowe - służące wykonaniu przedmiotowych przepisów RODO - powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie tego rozporządzenia. RODO nie daje jednak żadnych wytycznych dla krajowego ustawodawcy, jak zrealizować ten cel.

Ponowne wykorzystywanie ISP a ochrona danych osobowych

Zakres przedmiotowy InfSekPublU wyznacza pojęcie „informacji sektora publicznego”. Zgodnie z art. 2 ust. 1 Inf­SekPublU jest nią każda treść lub jej część, niezależnie od sposobu utrwalenia, w szczególności w postaci papierowej, elektronicznej, dźwiękowej, wizualnej lub audiowizualnej, będąca w posiadaniu podmiotów zobowiązanych. Zakres pojęcia informacji sektora publicznego jest zatem szerszy od pojęcia informacji publicznej i może obejmować również inne treści, które posiadają przymiot sprawy publicznej. Z kolei przez ponowne wykorzystywanie - art. 1 ust. 3 InfSekPubU - należy rozumieć wykorzystywanie przez osoby fizyczne, osoby prawne i jednostki organizacyjne nieposiadające osobowości prawnej, informacji sektora publicznego w celach komercyjnych lub niekomercyjnych innych niż pierwotny publiczny cel, dla którego informacja została wytworzona.

Wszelkie informacje, odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, niezależnie od tego, czy są dostępne publicznie, stanowią dane osobowe. Zgodnie z definicją przytoczoną wyżej, ponowne wykorzystywanie informacji sektora publicznego stanowiących dane osobowe (np. dane o osobie pełniącej funkcje publiczne) lub danych osobowych zawartych w informacji sektora publicznego (np. dane osobowe ujawnione w rejestrze publicznym) będzie stanowić przetwarzanie w rozumieniu przepisów o ochronie danych osobowych, np. przez gromadzenie danych, łączenie danych z różnych źródeł i dokonywanie na nich dalszych operacji. Zarówno podmioty zobowiązane, będące dysponentem danych, jak i „każdy zainteresowany”, który pozyska dane jako informacje sektora publicznego w trybie ich ponownego wykorzystywania, wykorzystując (czyli przetwarzając) dane osobowe, musi respektować zasady ich przetwarzania określone w przepisach RODO i pozostałych przepisów o ochronie danych osobowych.

Dotychczasowe przepisy InfSek­PublU określały relację między prawem do ponownego wykorzystywania oraz ochroną danych osobowych pośrednio oraz bezpośrednio. Po pierwsze, zgodnie z art. 6 ust. 2, prawo do ponownego wykorzystywania podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy (symetryczne ograniczenie znajdziemy w art. 5 ust. 3 ustawy z 6.9.2001 r. o dostępie do informacji publicznej; t.j. Dz.U. z 2018 r. poz. 1330 ze zm.; dalej: DostInfPublU). Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. Po drugie, bezpośrednią relację z ochroną danych osobowych określał art. 7 ust. 2, zgodnie z którym przepisy ustawy nie naruszają przepisów o ochronie danych osobowych.

Wykonanie art. 86 RODO

Artykuł 86 RODO należy zaliczyć do tej kategorii przepisów ogólnego rozporządzenia, które powinny być obligatoryjnie przyjęte w prawie krajowym2. Wprawdzie nie służy on bezpośrednio wdrożeniu postanowień rozporządzenia, ale jego celem jest zachowanie równowagi między prawem ochrony danych osobowych a prawem do informacji, które może być w różnorodny sposób ujęte w prawie kra­jowym3.

Co prawda, art. 86 RODO wprost nie odnosi się do przepisów o ponownym wykorzystywaniu, ale komentujący go motyw 154 RODO stanowi już o ­konieczności pogodzenia ponownego wykorzystywania informacji sektora publicznego z prawem do ochrony danych osobowych i dlatego również przepisy o ponownym wykorzystywaniu mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie RODO.


Ważne

Łączna interpretacja art. 86 i dopełniającego go motywu 154 preambuły RODO pozwala na wyprowadzenie następujących wniosków. Po pierwsze, RODO nie wyłącza możliwości ujawnienia danych stanowiących informacje sektora publicznego w ramach ponownego wykorzystywania. Po drugie, państwa członkowskie UE powinny w prawie krajowym wykonać dyspozycję art. 86 i motywu 154 poprzez przyjęcie przepisów godzących publiczny dostęp do dokumentów (i ponowne wykorzystywanie informacji sektora publicznego) z prawem do ochrony danych osobowych. Po trzecie, konieczne jest uwzględnienie prawa do ochrony danych w przepisach o ponownym wykorzystywaniu informacji sektora publicznego.


Zmiany zasad ponownego wykorzystywania informacji sektora publicznego

Wykonanie przepisów RODO w Inf­SekPublU zakłada zmianę art. 7 ustawy, polegającą na ograniczeniu wykonania obowiązków informacyjnych, o których mowa w art. 13, 14 i 19 RODO w związku z realizacją prawa do ponownego wykorzystywania informacji stanowiących lub zawierających dane osobowe.

Zgodnie z dodanym w art. 7 ust. 3, do przetwarzania danych osobowych w celu udostępniania lub przekazywania informacji sektora publicznego do ponownego wykorzystywania nie stosuje się przepisu art. 13 ust. 3 RODO. Oznacza to, że podmiot zobowiązany, udostępniając informacje zawierające dane osobowe, czy to z własnej inicjatywy na stronie internetowej urzędu, czy przekazując na wniosek zainteresowanego użytkownika, nie będzie zobligowany do spełnienia obowiązku informacyjnego wymienionego w art. 13 ust. 3 RODO, zgodnie z którym, jeżeli administrator (w tym przypadku podmiot zobowiązany) planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa art. 13 ust. 3 RODO.

Kolejna zmiana – wprowadzona w art. 7 ust. 4 InfSekPublU – dotyczy ograniczenia obowiązku informacyjnego wymienionego w art. 14 RODO, a więc w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. W tym wypadku adresatem zwolnienia z obowiązku informacyjnego będzie użytkownik (czyli na gruncie przepisów o ochronie danych osobowych będzie nim odbiorca danych). Użytkownik, przetwarzając dane osobowe w celu ponownego wykorzystywania, nie będzie musiał podawać osobie, której dane dotyczą wszystkich informacji wymienionych w art. 14 ust. 1-4 RODO.


Ważne

Należy podkreślić, że zwolnienie użytkowania z obowiązku informacyjnego dotyczy jedynie sytuacji wymienionych w art. 7 ust. 4 InfSekPublU, tj.:

1) osób pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania tych funkcji;

2) osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe;

3) obejmujących nazwę (firmę), numer identyfikacji podatkowej (NIP) albo imię i nazwisko kontrahenta podmiotu zobowiązanego.


Pierwsza sytuacja stanowi potwierdzenie możliwości wykorzystywania danych osobowych osób pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, co znajduje uzasadnienie w art. 5 ust. 2 DostInf­PublU i art. 6 ust. 2 InfSekPublU. Zgodnie z ugruntowanym orzecznictwem sądowoadministracyjnym, osobą pełniącą funkcję publiczną jest każdy, kto pełni funkcję w organach władzy publicznej lub też w strukturach osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej, jeżeli tylko funkcja ta ma związek z dysponowaniem majątkiem państwowym lub samorządowym albo zarządzaniem sprawami związanymi z wykonywaniem swych zadań przez władze publiczne, a także inne podmioty, które tę władzę realizują lub gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa4. Najprostszym wyjaśnieniem pojęcia osoby pełniącej funkcję publiczną jest przyjęcie, że osoba, aby mogła być za taką uznana, musi w ramach instytucji publicznej realizować w pewnym zakresie nałożone na tę instytucję zadania publiczne, z wyłączeniem stanowisk usługowych i technicznych5.

Druga sytuacja znajduje uzasadnienie w motywie 14 preambuły RODO, w myśl którego rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Z kolei trzecia sytuacja wynika z utrwalonego orzecznictwa sądowego, uznającego dane osób, z którymi podmioty publiczne zawierają umowy cywilnoprawne, za informacje publiczne6. Dla omawianego wyłączenia obowiązku informacyjnego nie będzie miało znaczenia czy kontrahentem podmiotu publicznego jest osoba fizyczna, czy osoba prawna. Brak konieczności poinformowania podmiotu danych będzie miał istotne znaczenie dla możliwości przetwarzania danych ujawnionych w tzw. rejestrach umów. Już obecnie wiele podmiotów publicznych udostępnia na swoich stronach BIP, czy na portalu dane.gov.pl, rejestry zwartych umów. Co istotne, przedmiotowe wyłączenie obowiązku informacyjnego obejmować będzie nie tylko dane kontrahentów ujawnione na stronach internetowych, ale również te pozyskane przez użytkowników w trybie wnioskowym.

Kolejna zmiana InfSekPublU, polega na dodaniu w art. 7 ust. 5, zgodnie z którym obowiązek, o którym mowa w art. 19 RODO, podmiot zobowiązany wykonuje przez zaktualizowanie danych odpowiednio na swojej stronie podmiotowej Biuletynu Informacji Publicznej, w centralnym repozytorium (chodzi o portal otwartych danych dane.gov.pl) lub w inny sposób. Artykuł 19 RODO obciąża administratora wtórnymi obowiązkami informacyjnymi, polegającymi na tym, że administrator (tutaj podmiot zobowiązany) powinien poinformować o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

W myśl wprowadzonej zmiany w InfSekPublU, podmiot zobowiązany w przypadku sprostowania lub usunięcia danych osobowych, lub ograniczenia przetwarzania danych udostępnionych na prowadzonych przez siebie stronach internetowych, BIP lub portalu dane.gov.pl, spełni przedmiotowy obowiązek informacyjny poprzez publikację odpowiednich informacji w miejscu udostępnienia danych osobowych.

Warunki ponownego wykorzystywania danych osobowych

Ostatnia zmiana w InfSekPublU, której dokonano przepisami tzw. RODO sektorowego, to dodanie w wymienionym w art. 14 ust. 4 InfSekPublU katalogu warunków ponownego wykorzystywania pkt 4 dotyczącego „informacji sektora publicznego zawierającej dane osobowe”. Oznacza to, że podmiot zobowiązany, określając warunki ponownego wykorzystywania informacji sektora publicznego, będzie mógł uwzględnić kwestie ochrony danych osobowych, przez co ochrona danych osobowych stanie się zobowiązaniem umownym.

Artykuł 14 ust. 1 InfSekPublU – w jego pierwotnym brzmieniu – upoważniał podmioty zobowiązane do określania warunków ponownego wykorzystywania, które mogły jedynie dotyczyć:

1) obowiązku poinformowania o źródle, czasie wytworzenia i pozyskania informacji od podmiotu zobowiązanego;

2) obowiązku poinformowania o przetworzeniu informacji ponownie wykorzystywanej;

3) zakresu odpowiedzialności podmiotu zobowiązanego za udostępniane lub przekazywane informacje.


Podkreślenia wymaga, że dotychczasowe przepisy o ponownym wykorzystywaniu przewidywały możliwość określenia innych warunków dalszego użycia informacji niż te wymienione enumeratywnie w art. 14 ust. 1 InfSekPublU jedynie w przypadku informacji sektora publicznego będącej przedmiotem praw własności intelektualnej. Zgodnie z art. 14 ust. 2, w przypadku ponownego wykorzystywania informacji sektora publicznego mających cechy utworu lub przedmiotu praw pokrewnych w rozumieniu przepisów ustawy z 4.2.1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz.U. z 2019 r. poz. 1231 ze zm.) lub stanowiących bazę danych w rozumieniu przepisów ustawy z 27.7.2001 r. o ochronie baz danych (Dz.U. Nr 128, poz. 1402 ze zm.), podmiot zobowiązany mógł określić warunki korzystania z informacji, w szczególności określić warunek dotyczący obowiązku poinformowania o nazwisku, imieniu lub pseudonimie twórcy, lub artysty wykonawcy, jeżeli jest znany7.

Przepisy InfSekPublU w brzmieniu sprzed nowelizacji nie upoważniały jednak podmiotów zobowiązanych do określenia zasad przetwarzania danych osobowych w ramach realizacja prawa do ponownego wykorzystywania informacji sektora publicznego. Przedmiotowa nowelizacja stanowi zatem próbę wypełniania istotnej luki prawnej.

Warto odnotować, że kwestia uwzględniania ochrony danych osobowych w katalogu warunków ponownego wykorzystania, podnoszona była przez Grupę Roboczą art. 298. W opinii Nr 06/2013 w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego, Grupa stwierdziła, że w przypadku gdy informacje, które mogą zostać ponownie wykorzystane, zawierają dane osobowe, ponowni użytkownicy powinni znać zasady przetwarzania takich danych od początku. Można tego dokonać przez zawarcie odpowiedniego postanowienia w licencji, przez co ochrona danych osobowych staje się zobowiązaniem umownym.


Ważne

Warunki licencji - w opinii Grupy Roboczej art. 29 - muszą przynajmniej wyraźnie określać, dla jakich celów dane zostały pierwotnie opublikowane, i wskazywać, co byłoby uznane za wykorzystanie danych osobowych zgodne z pierwotny celem, a co nie. Z powyższego wynika zatem konieczność każdorazowego dokonywania przez podmiot zobowiązany (czyli na gruncie przepisów o ochronie danych osobowych przez administratora) przed udostępnieniem danych do ponownego wykorzystywania testu zgodności celów, tj. zgodności celu pierwotnego, dla którego dane zostały zebrane z potencjalnymi celami dalszego przetwarzania danych (zgodnie z 6 ust. 4 RODO).


Zdaniem Grupy Roboczej art. 29, warunki licencji mogą być również określone dla zanonimizowanych zestawów danych i mogą:

1) przypominać, że zestawy danych zostały zanonimizowane;

2) zakazywać posiadaczom licencji (użytkownikom) ponownej identyfikacji osób fizycznych;

3) zakazywać posiadaczom licencji wykorzystywania danych do po­dejmowania środków lub decyzji wobec zainteresowanych osób fizycznych;

4) zawierać zobowiązanie posiadacza licencji do powiadomienia licencjodawcy w przypadku wykrycia, że osoby fizyczne mogą zostać lub zostały ponownie zidentyfi­kowane.


Dominik Sybilski - Instytut Nauk Prawnych Polska Akademia Nauk


Podstawa prawna

  • art. 86 i motyw 154 preambuły rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L Nr 119, s. 1)
  • art. 142 ustawy z 21.2.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730)
  • art. 1 ust. 3, art. 2 ust. 1, art. 7 ust. 4, art. 14 ustawy z 25.2.2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (t.j. Dz.U. z 2018 r. poz. 1243 ze zm.)
  • art. 5 ust. 3 ustawy z 6.9.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2018 r. poz. 1330 ze zm.)


Podsumowanie

Celem omówionej regulacji było uwzględnienie w przepisach o ponownym wykorzystywaniu informacji sektora publicznego przepisów RODO. Nowa regulacja rozwiewa wątpliwości, co do możliwości wykorzystywania danych osobowych zawartych w informacji sektora publicznego, jedynie w wymienionych sytuacjach. Otwartym pozostaje pytanie, czy ustawodawcy udało się skutecznie pogodzić prawo do ochrony danych z prawem publicznego dostępu do dokumentów urzędowych, o którym mowa w art. 86 RODO, w szczególności wobec braku odpowiedniej zmiany przepisów o dostępie do informacji publicznej. Uwzględnienie w katalogu warunków ponownego wykorzystywania danych osobowych stanowiących lub zawartych w informacjach sektora publicznego, należy ocenić pozytywnie. Realizacja nowych przepisów może stanowić jednak wyzwanie dla podmiotów zobowiązanych, które udostępniają dane, np. na stronie podmiotowej BIP, czy stronie informacyjnej urzędu lub też przekazują dane na wniosek zainteresowanego użytkownika. W przypadku, w którym podmiot zobowiązany uzna, że udzielenie w celu ponownego wykorzystywania informacji sektora publicznego zawierającej dane osobowe jest możliwe, konieczne będzie określenie warunków przetwarzania tych danych. Każdy przypadek należy oceniać indywidualnie ze względu na zakres danych i dopuszczalne cele ponownego wykorzystywania.




  1. Ustawa z 21.2.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r. poz. 730).
  2. G. Sibiga, Dopuszczalny zakres polskich przepisów o ochronie danych osobowych po rozpoczęciu obowiązywania ogólnego rozporządzenia o ochronie danych osobowych – wybrane zagadnienia. Ogólne rozporządzenie o ochronie danych. Aktualne problemy prawnej ochrony danych osobowych 2016, Warszawa 2016, s. 19.
  3. Ibidem.
  4. Zob. I. Kamińska, M. Rozbicka-Ostrowska, Ustawa o dostępie do informacji publicznej. Komentarz, Warszawa 2012, s. 87; M. Bidziński, [w:] M. Bidziński, M. Chmaj, P. Szustakiewicz, Ustawa o dostępie do informacji publicznej. Komentarz, Warszawa 2010, s. 73-74.
  5. Na temat pojęcia osoby pełniącej funkcje publiczne zob. m.in. P. Sitniewski, Kim jest osoba pełniąca funkcję publiczną? Informacja w Administracji Publicznej 2017, Nr 3, s. 47-55.
  6. Zob. wyr. SN z 8.11.2012 r. (I CSK 190/12, Legalis) w sprawie ujawnienia przez urząd m.st. Warszawy nazwisk i imion osób, z którymi miasto zawarło umowy o dzieło lub zlecenia. Prywatność nie obejmuje imion i nazwisk osób zawierających umowy cywilnoprawne z jednostkami samorządu terytorialnego.
  7. Na temat warunków ponownego wykorzystywania zob. D. Sybilski, Warunki ponownego wykorzystywania informacji sektora publicznego, Informacja w Administracji Publicznej 2017, Nr 4.
  8. Po wejściu w życie RODO uległa ona przekształceniu w Europejską Radę Ochrony Danych.
Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Nowelizacja ustawy o ponownym wykorzystywaniu informacji sektora publicznego dostosowująca do przepisów RODO
Dominik Sybilski
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny