Udostępnianie danych osobowych będących informacją publiczną jest objęte RODO, co potwierdza nie tylko jego art. 2 ustalający zakres stosowania tego aktu, ale również art. 86, który jest dodatkowo wyjaśniany w motywie 154 RODO. Co ważne, ostatni z tych przepisów nie wyłącza stosowania RODO, ale określa relacje między prawem do ochrony danych osobowych ukształtowanym w tym akcie oraz krajowymi przepisami gwarantującymi publiczny dostęp do dokumentów urzędowych. Obecne kłopoty z listą popierających kandydatury do Krajowej Rady Sądownictwa wzięły się z niewłaściwych relacji między RODO a polskimi przepisami o dostępie do informacji publicznej.
Zasady określone w przepisach
Z przepisu art. 86 RODO interpretowanego zgodnie z motywem 154 wynikają dwie podstawowe zasady relacji prawa dostępu oraz ochrony danych osobowych:
1) krajowe organy publiczne lub podmioty publiczne powinny mieć zapewnioną możliwość umieszczania – na zasadzie publicznego dostępu – w dokumentach danych osobowych, jeżeli takie ujawnienie przewidziane zostało przepisami prawa państwa członkowskiego,
2) gdy przepisy krajowe przewidują ujawnianie dokumentów zawierających dane osobowe, powinny one „pogodzić" publiczny dostęp do dokumentów oraz prawo do ochrony danych osobowych, w tym mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych określonego w RODO.
Z pierwszej z tych zasad wynika, że ochrona danych osobowych sama w sobie nie wyłącza możliwości – na podstawie prawa krajowego – udostępnienia informacji publicznej zawierającej dane osobowe. Zgodnie z drugą zasadą przepisy krajowe przewidujące takie udostępnienie powinny „godzić" ze sobą powszechne prawo do informacji oraz prawo do ochrony danych osobowych w kształcie określonym w RODO. Chodzi o wyważenie dwóch z natury kolidujących ze sobą kategorii uprawnień.
Zabrakło dostosowania
Tymczasem w procesie dostosowywania prawa polskiego do RODO nie dokonano zmian wykonujących drugą z zasad zawartych w art. 86 RODO, poza nowelizacją ustawy o ponownym wykorzystywaniu informacji sektora publicznego, która ma jednak wtórny charakter wobec dostępu do informacji publicznej. Obecnie ustawa o dostępie do informacji publicznej (dalej udip) nie odnosi się do prawa stanowiącego przedmiot RODO, w szczególności tam ustalonych uprawnień osób, których dane dotyczą. Co więcej, polska ustawa w ogóle wprost nie odnosi się do ochrony danych osobowych jako przesłanki ograniczającej dostęp. W art. 5 ust. 2 udip odwołano się wyłącznie do kategorii prywatności osoby fizycznej, a dopiero z tej kategorii – w drodze interpretacji – ustalane są zasady ochrony danych osobowych. Tymczasem prywatność i ochrona danych osobowych nie są kategoriami tożsamymi pod względem przedmiotowym, a nawet podmiotowym (dopuszczalna jest bowiem ochrona sfery prywatnej osoby zmarłej). Obecna polska regulacja jest niejasna i pozostawia znaczącą swobodę w interpretowaniu, jak chronić dane osobowe.
Polskie przepisy o dostępie do informacji publicznej stały się wyjątkiem w porównaniu z większością prawodawstw innych państw UE, w których znajdują się odwołania do ochrony danych osobowych. W ramach procesu dostosowywania do RODO w niektórych krajach wyłączono lub ograniczono stosowanie części przepisów RODO w sytuacjach korzystania z powszechnego prawa do informacji, tzn. tych przepisów, które mogłyby kolidować z prawem do informacji (Wielka Brytania).
RODO obowiązuje
W związku z tym, że w udip nie odniesiono się do prawa do ochrony danych osobowych, w tym do zasad określonych w RODO, to przepisy tego drugiego aktu znajdują zastosowanie na warunkach w nim ustalonych.
W szczególności osoby fizyczne, których dane są ujawniane (jako informacja publiczna), mogą korzystać z uprawnień ustalonych w RODO, w tym uprawnień procesowych: skargi do niezależnego organu nadzorczego (w Polsce – prezes Urzędu Ochrony Danych Osobowych - art. 77 RODO) lub powództwa sądowego (art. 79 RODO), jeżeli uznają, że przyznane im w RODO prawa zostały naruszone. Obowiązkiem organu nadzorczego i sądu jest rozpatrzenie wniesionego środka prawnego poprzez rozstrzygnięcie w przedmiocie realizacji praw określonych w RODO.
Obowiązują w zakresie ustalonym w RODO wszystkie główne zasady ochrony danych osobowych (art. 5–10 RODO) oraz uprawnienia osób, których dane dotyczą (art. 12–22 RODO). Przepisy RODO odnoszą się też do szczegółowych przepisów krajowych jako podstaw przetwarzania danych osobowych, dlatego łącznie z RODO znajdą zastosowanie przepisy udip, w tym art. 5 ust. 2 tej ustawy, ponieważ na podstawie tych przepisów też będzie dochodziło do przetwarzania (udostępniania) danych osobowych.
Jednym z określonych w RODO uprawnień jest prawo do sprzeciwu wobec przetwarzania danych osobowych przez administratora z przyczyn związanych ze szczególną sytuacją podmiotu danych (art. 21 ust. 1). Wniesienie sprzeciwu nie oznacza jego automatycznego uwzględnienia, ale obowiązek rozpatrzenia przez administratora, co jest następnie kontrolowane przez organ nadzorczy i sąd. Prawo sprzeciwu przysługuje osobie fizycznej, gdy podstawą przetwarzania danych jest wykonanie zadania w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit e). W tym kontekście duże znaczenie ma motyw 154 zdanie drugie, stanowiący, że: „Publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny". Nie ma więc przeszkód, aby przedmiotem sprzeciwu było ujawnienie danych osobowych w ramach udostępniania informacji publicznej.
Prawniczy pat
Przez zaniechanie ustawodawcze w określeniu relacji między dostępem do informacji publicznej oraz prawem do ochrony danych osobowych w kształcie ustalonym w RODO mamy do czynienia nie tylko z kolidującymi ze sobą przepisami materialnymi, ale również z konkurencyjnymi procedurami.
Realizacja prawa do informacji publicznej podlega z inicjatywy wykonującego to prawo kontroli sądu administracyjnego, a wcześniej administracyjnej kontroli instancyjnej w przypadku wydania decyzji odmawiającej udostępnienia. Przestrzeganie prawa do ochrony danych osobowych jest procesowo kontrolowane przez prezesa Urzędu Ochrony Danych Osobowych lub sąd powszechny, a z kolei ten prezes podlega kontroli sądu administracyjnego.
Powyższe uwarunkowania proceduralne spowodowały prowadzenie w interesującej nas sprawie odrębnie od siebie dwóch postępowań przez różne organy, w których brali (lub biorą) udział częściowo różni uczestnicy. Przedmiotem postępowania sądowego w sprawie dostępu do informacji publicznej była kontrola wydanej przez szefa Kancelarii Sejmu decyzji odmawiającej udostępnienia informacji publicznej. Co istotne, uczestnikami postępowania (administracyjnego i sądowego) nie były osoby, których dane miały zostać ujawnione. Chociaż z drugiej strony jawny udział tych osób sam w sobie prowadziłby do ujawnienia ich tożsamości, co czyniłoby postępowanie bezcelowym. Stopień skomplikowania sprawy powiększa to, że kwestionowana decyzja szefa Kancelarii Sejmu była wydana przed rozpoczęciem obowiązywania RODO, a zatem sądy (WSA i NSA) przy kontroli tej decyzji nie brały pod uwagę tego aktu.
Wydany przez Naczelny Sąd Administracyjny wyrok oddalający skargę kasacyjną od wyroku WSA w Warszawie jest orzeczeniem prawomocnym, a takie wiąże nie tylko strony i sąd, który je wydał, lecz również inne sądy i inne organy państwowe. Ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu są wiążące dla szefa Kancelarii Sejmu, a według nich powinno nastąpić udostępnienie wykazu sędziów popierających zgłoszenia kandydatów do KRS po uprzedniej anonimizacji numeru ewidencyjnego PESEL. Mimo dalej przedstawionych wątpliwości te zasady powinny mieć prymat w dalszym postępowaniu organów.
Natomiast już w okresie obowiązywania RODO toczy się postępowanie administracyjne prowadzone przez prezesa UODO, wszczęte również w wyniku skargi osoby, której dane dotyczą. Każda z osób znajdujących się na liście może także złożyć powództwo do sądu powszechnego, o którym mowa w art. 79 RODO, zarzucając, że ujawnienie danych osobowych naruszy ich uprawnienia określone w RODO, a te nie były przedmiotem kontroli sądowej.
Tak źle i tak niedobrze
W ten oto sposób wykonanie wyroku Naczelnego Sądu Administracyjnego sprawi, że osoby, których dane dotyczą, zostaną pozbawione realnego środka ochrony prawnej, ponieważ ujawnienie wykazu spowoduje bezcelowość dalszego postępowania, przynajmniej w tym zakresie, w jakim dotyczy ono poufności danych osobowych. Nie dojdzie zatem do efektywnej kontroli zgodności ujawnienia danych nie tylko z udip, ale także z RODO. Z kolei kontynuowanie postępowania przez prezesa UODO i utrzymanie w mocy postanowienia zabezpieczającego tego organu prowadzi do niewykonania prawomocnego orzeczenia sądu.
Nie mogę się także zgodzić z pojawiającym się w debacie stanowiskiem, że osobom pełniącym funkcje publiczne nie przysługuje prawo do ochrony danych osobowych. To prawo przysługuje każdemu człowiekowi, o czym stanowi nie tylko RODO, ale przede wszystkim Konstytucja RP w art. 51, tylko w jednej z gwarancji zawężając uprawnienie do obywateli. W przypadku tych osób ograniczona została jedynie ochrona poufności danych osobowych w zakresie związanym z pełnieniem funkcji publicznych, a to ze względu na zasady jawności życia publicznego i dostępu do informacji. W sprawach spornych granicę tej poufności powinny ustalać sądy lub inne niezależne organy, także z udziałem osoby, której dane mają zostać ujawnione, biorąc pod uwagę wszystkie obowiązujące przepisy krajowe i unijne. Bez znaczenia dla tego stanowiska pozostaje to, że osobiście przekonuje mnie argumentacja NSA zawarta w interesującym nas wyroku.
Autor jest kierownikiem Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN
