fbTrack
REKLAMA
REKLAMA

Opinie

Ustawa ?o re-use na problemy z ponownym wykorzystaniem informacji ?z sektora publicznego

Problemy z ponownym wykorzystaniem informacji ?z sektora publicznego ma rozwiązać tzw ustawa ?o re-use. Nie uda się to bez zmian w przepisach ?o ochronie danych osobowych – pisze ekspert.
Niespełna miesiąc temu, 18 czerwca, zakończyły się konsultacje publiczne projektu założeń projektu nowej ustawy o ponownym wykorzystywaniu informacji sektora publicznego, tzw. re-use. W projekcie próżno jednak szukać choćby próby rozwiązania jednej z najistotniejszych systemowo kwestii, czyli stosunku przepisów o ponownym wykorzystaniu informacji sektora publicznego do ustawy o ochronie danych osobowych.

O co chodzi

W trybie dostępu do informacji publicznej oraz ponownego wykorzystania informacji sektora publicznego może dochodzić – i często dochodzi – do gromadzenia danych osobowych przez podmioty uzyskujące informację publiczną. Danych osobowych, czyli informacji odnoszących się do zidentyfikowanych (lub możliwych do zidentyfikowania) osób fizycznych: ich imion, nazwisk, adresów zamieszkania, informacji o aktywności w życiu publicznym itp.
Takich sytuacji, gdy jako informacja publiczna ujawniane są dane osobowe, mamy w praktyce całe mnóstwo, choć najistotniejszą kategorię stanowić będą dane zawarte w rejestrach publicznych i różnego rodzaju publicznych bazach danych.
Każdy podmiot, który gromadzi dane osobowe, ma prawny obowiązek przekazania osobom, których dane gromadzi, pewnych informacji – a niewykonanie tego obowiązku stanowi przestępstwo. Są to m.in. informacje o tożsamości tego podmiotu i jego adresie oraz o prawach osób, których dane dotyczą (art. 24 i 25 ustawy o ochronie danych osobowych; w tym przypadku zastosowanie znajdzie art. 25). Obowiązek ten dotyczy także podmiotów gromadzących dane osobowe w trybie dostępu do informacji publicznej, jak również ponownego wykorzystania informacji sektora publicznego.
Oznacza to więc, że uzyskując w trybie dostępu do informacji publicznej informacje zawierające dane osobowe, należy wobec osób, których te dane dotyczą, wykonać obowiązek informacyjny z przepisów ustawy o ochronie danych osobowych. Podobnie jest w przypadku re-use: otrzymując w tym trybie dane zawarte w rejestrze publicznym, należy wykonać obowiązek informacyjny.
Tyle ściśle językowa wykładnia przepisów  o ochronie danych osobowych. Jakie są tego skutki? Nakaz wykonywania obowiązków informacyjnych wynikających z ustawy o ochronie danych osobowych w stosunku do informacji pozyskiwanych w trybie dostępu do informacji publicznej oraz ponownego wykorzystania informacji sektora publicznego prowadzi do istotnego ograniczenia uprawnień wynikających z przepisów o re-use. Ograniczenia mającego dwojaki charakter. Po pierwsze, konieczność wykonania obowiązków informacyjnych oznacza koszty – trzeba ustalić adres, pod jaki wysłać informację, a następnie ją sporządzić i wysłać. Po drugie, konieczność wykonania obowiązków informacyjnych oznacza czas – trzeba je wykonać, a to trwa. W praktyce więc, poprzez brak spójności przepisów o re-use oraz przepisów o ochronie danych osobowych, może dojść do sytuacji ograniczenia prawa do ponownego wykorzystania informacji sektora publicznego.
Opisywany mechanizm w praktyce budzi wiele kontrowersji. Można się o tym przekonać, śledząc sprawę pewnej spółki, zapoczątkowaną decyzją generalnego inspektora ochrony danych osobowych z września 2010 r. Spółka ta pozyskiwała informacje z rejestrów publicznych, w tym z Krajowego Rejestru Sądowego. Zakresem informacji objęte były także dane osobowe ujawnione w KRS. Spotkało się to z reakcją ze strony GIODO, który nakazał spółce m.in. „dopełnienie wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych [...], obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, w terminie trzech miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna". W styczniu 2013 r. w sprawie wypowiedział się Naczelny Sąd Administracyjny, który – co ciekawe – nie zakwestionował na tym poziomie istoty rozumowania GIODO. Sąd zwrócił natomiast uwagę na dużo istotniejszą kwestię – przywołał mianowicie art. 11 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Przepis ten stanowi, że obowiązek informacyjny związany z gromadzeniem danych osobowych nie znajduje zastosowania, gdy dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. Z taką właśnie sytuacją mamy do czynienia w przypadku gromadzenia informacji w trybie re-use: ujawnianie informacji jest wyraźnie przewidziane przez prawo. Co więcej, wykonanie obowiązku informacyjnego nierzadko wymagałoby niewspółmiernie dużego wysiłku w stosunku do osiąganego efektu.

Wierny odpowiednik

Skąd więc problem, skoro dyrektywa wyraźnie zezwala na niewykonywanie obowiązku informacyjnego w przypadku ujawniania informacji (w tym danych osobowych) w trybie re-use? Stąd, że polska ustawa o ochronie danych osobowych nie zawiera odpowiednika art. 11 ust. 2 dyrektywy 95/46/WE. Dlatego NSA w uzasadnieniu wyroku ze stycznia 2013 r. wskazał na konieczność tzw. prounijnej wykładni przepisów polskiej ustawy o ochronie danych osobowych – aby w jej wyniku właśnie osiągnąć taki skutek, jaki wynika z dyrektywy, tj. wyłączyć stosowanie obowiązku informacyjnego w stosunku do informacji gromadzonych w trybie re-use.
Jako że trwają prace nad nową regulacją ponownego wykorzystania informacji sektora publicznego, wydaje się, że jest to dobry moment, aby w polskiej ustawie o ochronie danych osobowych pojawił się wierny odpowiednik art. 11 ust. 2 dyrektywy 95/46/WE (odpowiedni przepis, wyłączający stosowanie art. 25 ustawy o ochronie danych osobowych, może się też pojawić w nowych przepisach regulujących zasady re-use). To nic, że trwają prace nad rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych – rozporządzenie nie zostało jeszcze uchwalone, a przewidziany w nim okres vacatio legis to aż dwa lata.

CV

Autor jest adwokatem, partnerem ?w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, Instytut Allerhanda w Krakowie
Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA