Prawo

Pogodzić RODO z ochroną danych osobowych

Zdzisław Majewski

11.08.2020

Ochrona danych osobowych i sfery naszej prywatności w działalności administracji publicznej stanowi jedną z bardziej newralgicznych kwestii prawnych i praktycznych. Powstaje pytanie, jak pogodzić dostęp do dokumentów i innych informacji publicznych z prawem do ochrony danych osobowych. Problem w tym, że zasady określone w RODO nie mają pełnego odzwierciedlenia w naszych regulacjach dotyczących dostępu do informacji publicznej.

RODO nie zabrania udostępnienia informacji publicznej zawierającej dane osobowe (patrz: art. 86 RODO). Jednak przepisy poszczególnych państw powinny być tak sformułowane, aby godzić nasze obywatelskie prawo do informacji publicznej z tym, co zwierają przepisy RODO w zakresie ochrony i postępowania przy przetwarzaniu takich danych.

W naszym prawie mamy co prawda art. 5 ust. 2 ustawy o dostępie do informacji publicznej, ale nasz ustawodawca odwołał się w nim jedynie do prywatności osoby fizycznej. Dopiero głębsza egzegeza tego przepisu pozwala na interpretację, że przepis ten zezwala na ustalenie zasad ochrony danych osobowych, ale nie w każdym przypadku. Na gruncie naszego prawa nie można przyjąć, że prywatność i ochrona danych osobowych to pojęcia tożsame. Kłopot w tym, że brak owej tożsamości utrudnia w praktyce postępowanie w zakresie ochrony danych osobowych, pozostawia szerokie pole interpretacji, a do rozstrzygania sporów angażuje liczne organy administracji oraz sądy administracyjne i powszechne.

Kolizja przepisów chroniących dane osobowe zawartych w RODO z przepisami naszej ustawy o dostępie do informacji publicznej ma dwa wymiary – kolidują ze sobą przepisy prawa materialnego oraz przepisy proceduralne. Odmowa udzielenia informacji publicznej podlega ostatecznej kontroli sądów administracyjnych, po uprzednim przejściu przez kolejne instancje administracyjne. Natomiast RODO przewiduje jako jedno z uprawnień obywatela prawo do sprzeciwu wobec przetwarzania danych osobowych przez administratora. Administrator ma obowiązek rozpatrzenia sprzeciwu, ale kontrola dalsza prowadzona jest przez organ nadzorczy – prezesa Urzędu Ochrony Danych Osobowych, a następnie przez sąd powszechny.

Tam przychodzi poszkodowanym długo czekać na rozstrzygnięcie sporu, nie mówiąc o kosztach procesowych. Dotyczy to także odmów udzielenia przez administrację publiczną informacji z powołaniem się na RODO, co oczywiście może utrudniać nam korzystanie z powszechnego prawa dostępu do informacji publicznej, ale także sprawiać kłopoty z wyegzekwowaniem ochrony danych osobowych.

Mamy więc dwie ścieżki proceduralne i już były przypadki, że taki sposób realizowania uprawnień co do ochrony danych osobowych był rozpatrywany przez różne organy i sądy w dwóch odrębnych postępowaniach, ale dotyczących tej samej kwestii prawnej. Stało się tak, bo w tej samej sprawie jedni skorzystali z prawa sprzeciwu prezesa Urzędu Ochrony Danych Osobowych i dalej z powództwa do sądu powszechnego, a drudzy ze ścieżki postępowania administracyjnego i sprawą zajął się sąd administracyjny. Skutki prowadzenia postępowań dotyczących ochrony danych osobowych w obu procedurach wiodą nas do prawnych paradoksów. Bo uczestnicy postępowania administracyjnego i postępowania przed sądem powszechnym mogą uzyskać różne rozstrzygnięcia albo wcześniejsze rozstrzygnięcie w jednej z procedur, np. przed sądem administracyjnym, może spowodować bezcelowość dalszego postępowania w procedurze przed sądem powszechnym. Ale także może powstać stan prowadzący do niewykonania prawomocnych wyroków sądowych.

Zamieszanie spowodowane brakiem dostosowania naszego prawa do RODO, niestety, rzutuje wprost na zakres poufności danych osobowych i związaną z tym ochronę prawną dotyczącą zarówno obywateli, jak i osób publicznych. Kolizja przepisów i dwie dostępne procedury w efekcie mogą nas pozbawić rzeczywistej ochrony prawnej oraz efektywnej kontroli – czy ujawnienie danych osobowych jest zgodne zarówno z RODO, jak i ustawą o dostępie do informacji publicznej.