Zgodnie z art. 4 ust. 1 pkt 5 ustawy z 6 września 2001 r. o dostępie do informacji publicznej – podmiotami obowiązanymi do udostępnienia informacji publicznej są także „inne podmioty wykonujące zadania publiczne". Z bogatego orzecznictwa oraz doktryny wynika, że takimi podmiotami mogą być podmioty, których zadania mają na celu zaspokojenie powszechnych potrzeb obywateli i są istotne z punktu widzenia celów państwa nawet jeśli są wykonywane przez podmioty gospodarcze nie będące w strukturach organów władzy publicznej (porównaj wyrok Naczelnego Sądu Administracyjnego z 19 września 2015 r. sygnatura I OSK 792/15 wraz z przytoczonym tam szerokim orzecznictwem).
Taka wykładnia pojęcia podmiotu wykonującego zadania publiczne pozwala zaliczyć do tego kręgu np. Ochotniczą Straż Pożarną, miejskie przedsiębiorstwa komunalne, czy też - co istotne w kontekście przekazywania danych dotyczących zdrowia - niepubliczne zakłady opieki zdrowotnej (w zakresie NZOZ porównaj wyrok Naczelnego Sądu Administracyjnego z 2 czerwca 2011 r. sygnatura I OSK 358/11).
Obowiązek udostępnienia danych
Mając już zarysowany krąg podmiotów zobowiązanych do udostępnienia danych zgromadzonych w swoich zbiorach i rejestrach należy wskazać, że zgodnie z art. 10a ust. 2 ustawy o Radzie Ministrów dane przed udostępnieniem podlegają anonimizacji lub pseudonimizacji.
Kolejny raz ustawodawca nie wskazał definicji legalnej użytych pojęć, a dotyczących „anonimizacji" oraz „pseudonimizacji" udostępnianych danych. W związku z tym, że tak „przerobione" dane nie będą już danymi osobowymi do ich przetwarzania nie będą miały zastosowania przepisy m.in. RODO. Wynika to przede wszystkim z celu w jakim dane te mają być przetwarzane. Ustęp trzeci art. 10a ustawy o Radzie Ministrów wskazuje, że dane te są niezbędne do „projektowania polityk publicznych i działań Rady Ministrów". W uzasadnieniu do projektu ustawy wskazano, że do realizacji powyższego celu nie są potrzebne żadne dane osobowe, a jedynie dane pozwalające na wyciągnięcie wniosków o określonych zjawiskach (porównaj w Uzasadnieniu rządowego projektu ustawy o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 – Druk Sejmowy nr 330).
Obowiązek anonimizacji lub pseudonimizacji
Jeżeli podmiot wykonujący zadanie publiczne otrzyma wniosek, od uprawnionego organu o udostępnienie konkretnych danych, a w takim zbiorze znajdować się będą dane osobowe, to zobowiązany będzie do ich anonimizacji lub pseudonimizacji. W związku z tym podmiot ten podejmie takie działania, które doprowadzą do tego, że udostępnione informacje nie będą wiązały się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną (motyw 26 RODO). W tym celu można wykorzystać techniki informatyczne polegające na randomizacji danych, ich uogólnieniu, dodawaniu zakłóceń (haszowanie) oraz agregację dużych zbiorów danych. Za to pseudonimizacja danych polega na „przetworzeniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej" (art. 4 pkt 5 RODO).
Tutaj właśnie czyha największe niebezpieczeństwo dla podmiotu udostępniającego dane, gdyż źle zaprojektowany czy też wykonany proces anonimizacji może doprowadzić do bardzo poważnych skutków. Może dojść do naruszenia ochrony danych osobowych poprzez nieuprawnione ujawnienie tychże danych.
