Tyle ściśle językowa wykładnia przepisów o ochronie danych osobowych. Jakie są tego skutki? Nakaz wykonywania obowiązków informacyjnych wynikających z ustawy o ochronie danych osobowych w stosunku do informacji pozyskiwanych w trybie dostępu do informacji publicznej oraz ponownego wykorzystania informacji sektora publicznego prowadzi do istotnego ograniczenia uprawnień wynikających z przepisów o re-use. Ograniczenia mającego dwojaki charakter. Po pierwsze, konieczność wykonania obowiązków informacyjnych oznacza koszty – trzeba ustalić adres, pod jaki wysłać informację, a następnie ją sporządzić i wysłać. Po drugie, konieczność wykonania obowiązków informacyjnych oznacza czas – trzeba je wykonać, a to trwa. W praktyce więc, poprzez brak spójności przepisów o re-use oraz przepisów o ochronie danych osobowych, może dojść do sytuacji ograniczenia prawa do ponownego wykorzystania informacji sektora publicznego.
Opisywany mechanizm w praktyce budzi wiele kontrowersji. Można się o tym przekonać, śledząc sprawę pewnej spółki, zapoczątkowaną decyzją generalnego inspektora ochrony danych osobowych z września 2010 r. Spółka ta pozyskiwała informacje z rejestrów publicznych, w tym z Krajowego Rejestru Sądowego. Zakresem informacji objęte były także dane osobowe ujawnione w KRS. Spotkało się to z reakcją ze strony GIODO, który nakazał spółce m.in. „dopełnienie wobec osób, których dane pochodzą ze źródeł powszechnie dostępnych [...], obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, w terminie trzech miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna". W styczniu 2013 r. w sprawie wypowiedział się Naczelny Sąd Administracyjny, który – co ciekawe – nie zakwestionował na tym poziomie istoty rozumowania GIODO. Sąd zwrócił natomiast uwagę na dużo istotniejszą kwestię – przywołał mianowicie art. 11 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Przepis ten stanowi, że obowiązek informacyjny związany z gromadzeniem danych osobowych nie znajduje zastosowania, gdy dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. Z taką właśnie sytuacją mamy do czynienia w przypadku gromadzenia informacji w trybie re-use: ujawnianie informacji jest wyraźnie przewidziane przez prawo. Co więcej, wykonanie obowiązku informacyjnego nierzadko wymagałoby niewspółmiernie dużego wysiłku w stosunku do osiąganego efektu.
Wierny odpowiednik
Skąd więc problem, skoro dyrektywa wyraźnie zezwala na niewykonywanie obowiązku informacyjnego w przypadku ujawniania informacji (w tym danych osobowych) w trybie re-use? Stąd, że polska ustawa o ochronie danych osobowych nie zawiera odpowiednika art. 11 ust. 2 dyrektywy 95/46/WE. Dlatego NSA w uzasadnieniu wyroku ze stycznia 2013 r. wskazał na konieczność tzw. prounijnej wykładni przepisów polskiej ustawy o ochronie danych osobowych – aby w jej wyniku właśnie osiągnąć taki skutek, jaki wynika z dyrektywy, tj. wyłączyć stosowanie obowiązku informacyjnego w stosunku do informacji gromadzonych w trybie re-use.
Jako że trwają prace nad nową regulacją ponownego wykorzystania informacji sektora publicznego, wydaje się, że jest to dobry moment, aby w polskiej ustawie o ochronie danych osobowych pojawił się wierny odpowiednik art. 11 ust. 2 dyrektywy 95/46/WE (odpowiedni przepis, wyłączający stosowanie art. 25 ustawy o ochronie danych osobowych, może się też pojawić w nowych przepisach regulujących zasady re-use). To nic, że trwają prace nad rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych – rozporządzenie nie zostało jeszcze uchwalone, a przewidziany w nim okres vacatio legis to aż dwa lata.
CV
Autor jest adwokatem, partnerem ?w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, Instytut Allerhanda w Krakowie
