Trybunał ocenił, że udostępnienie imienia, nazwiska, podpisu i danych kontaktowych osoby fizycznej reprezentującej osobę prawną stanowi przetwarzanie danych osobowych, a więc podlega ochronie RODO. Przy udostępnianiu informacji publicznej zawierającej takie dane, zdaniem Trybunału, administrator wpierw powinien koniecznie skontaktować się z tą osobą. Jednak nie zawsze takie konsultacje będą możliwe lub będą wymagały niewspółmiernie dużego wysiłku – wówczas Trybunał zgadza się na odstąpienie od konsultacji.
W naszym prawie nie ma przepisów, nakładających na administratora przeprowadzanie takich konsultacji. Skutki tego są istotne, bowiem z treści art. 5 ust. 2 ustawy o dostępie do informacji publicznej, niestety, nie wynika, jak dokonywać oceny, czy w konkretnej sytuacji udostępnienie informacji nie naruszy prawa do prywatności. Nie mamy także uregulowanego trybu, w jakim urząd ma zwracać się do osoby, aby zajęła stanowisko w kwestii udostępnienia jej danych osobowych. Administrator, który w urzędzie odpowiada na wniosek o informację publiczną, ma dziś dylemat, czy jego działanie albo zaniechanie przy realizacji złożonego wniosku będzie zgodne z zasadami ochrony danych osobowych i trybami, jakie określa ustawa o dostępie do informacji publicznej.
Jak naprawić niedoskonałości obowiązującego w tym zakresie prawa? Należy ustawę o dostępie do informacji publicznej dostosować do RODO, mówi Prezes UODO, ale nie wskazuje, jak ów problem rozwiązać. Na razie mamy sprzeczne orzeczenia sądowe. W jednym z nich NSA orzekł, że poszanowanie prywatności to pozostawienie naszej osobistej decyzji i kontroli nad informacjami, które nas dotyczą. A więc to nasze prawo do samodzielnego ujawniania innym takich informacji. To nasza autonomia informacyjna – toteż pracodawca, jak zauważył sąd, powinien zwracać się do nas o zgodę, czy w danym konkretnym przypadku chcemy, aby nasza prywatność była chroniona (NSA III OSK 922/22). Mamy jednak inne wyroki NSA, które nie obligują organu do obowiązkowego zbadania, czy dana osoba rezygnuje ze swojego prawa do prywatności. Sąd stwierdził, że o taką rezygnację trzeba zapytać osobę, ale tylko wówczas, gdy prosi o to składający wniosek albo wprost z przebiegu postępowania wynika, że należy tę okoliczność wyjaśnić (NSA III OSK 2449/21). Jeszcze w innym wyroku NSA dobitnie wskazał, że rezygnacja z prawa do prywatności musi mieć charakter dobrowolny, konkretny, świadomy – wyrażony rzez osobę jednoznacznie w formie oświadczenia lub jednorazowego działania (NSA III OSK 595/22).
Brak jasności co do regulacji prawnych i sprzeczne orzecznictwo, co więcej – nasza ustawa o dostępie do informacji publicznej – rodzą spore kłopoty, jeśli chcemy respektować także prawo unijne. Na razie to administrator jest w naszych urzędach arbitrem. A realizując przetwarzanie danych osobowych zgodnie z naszym prawem ma respektować zasady rzetelności i przejrzystości oraz wyważyć, co przeważa w konkretnym przypadku: prawo dostępu do dokumentów urzędowych czy prawo do ochrony naszych danych osobowych.
Administratorzy działają więc w warunkach dużej niepewności prawnej. Zdaniem Prezesa UODO polskie przepisy są mało precyzyjne i nieprzejrzyste, dlatego konieczna jest nowelizacja ustawy o dostępie do informacji publicznej. Trzeba jednoznacznie określić relacje między prawem do informacji publicznej a prawem do ochrony danych osobowych, zapewnić zgodność przetwarzania danych z zasadami legalności, rzetelności i przejrzystości oraz stworzyć określić jasne kryteria i tryb konsultacji urzędu z osobami, których dane będą ujawniane.
Mam nadzieję, że nowelizacja przepisów o dostępie do informacji publicznej wyeliminuje nie tylko sprzeczności w przepisach, ale nam, obywatelom, zapewni większą kontrolę nad tym, jakie nasze dane osobowe będą jawne w przestrzeni publicznej. Dziś ryzyka wiążące się z szerokim dostępem do danych osobowych są tak duże, że kontrola nad danymi osobowymi i ich ochrona są wyzwaniem cywilizacyjnym.
*zastępca redaktora naczelnego „Wspólnoty”
