Prawo dostępu do informacji publicznej w styczności z RODO

BySylwia Ostrowska
prawo dostępu do informacjiKomu przysługuje prawo dostępu do informacji publicznej?

Prawo dostępu do informacji publicznej przysługuje każdemu, zarówno obywatelom Polski jak i obcokrajowcom, co gwarantują przepisy art. 61 ust. 1 Konstytucji RP oraz art. 2 ust. 1 ustawy o dostępie do informacji publicznej (dalej „UDIP”). Dostęp do takiej informacji stanowi ważny aspekt poprawnego funkcjonowania demokratycznego państwa, gdyż pozwala on zapoznać się społeczeństwu i jego przedstawicielom z działaniami organów władzy publicznej oraz innych podmiotów, np. zarządzających majątkiem Skarbu Państwa. Prawo dostępu do informacji publicznej umożliwia realizację zasady jawności organów rządzących, a także kontrolowanie ich i wpływanie na politykę państwa przez obywateli.

Czym jest informacja publiczna?

Pojęcie informacji publicznej posiada definicję w art. 1 ust. 1 UDIP, według którego jest to „każda informacja o sprawach publicznych (…)”. Z kolei art. 6 UDIP zawiera listę informacji stanowiących informację publiczną podlegającą udostępnieniu na mocy ww. ustawy. Należy jednak podkreślić, że jest to katalog otwarty, a sam ustawodawca nie określa jednoznacznie co stanowi informację publiczną, a co nią nie jest. Lista informacji podlegających udostępnieniu stanowi jedynie wyszczególnione przykłady, co może wskazywać na brak możliwości utworzenia zamkniętego katalogu takich informacji, podobnie jak przy danych osobowych – w ich przypadku RODO również nie ustanawia katalogu zamkniętego, gdyż zależnie od sytuacji każda informacja może stanowić dane osobowe. W przypadku informacji publicznej należy wziąć pod uwagę ciągle zmieniający się charakter stosunków społeczno-gospodarczych oraz powstawanie coraz to nowszych aktywności ze strony sektora publicznego, a co za tym idzie – nowych informacji podlegających lub mogących podlegać udostępnieniu na mocy ustawy.

Wśród informacji wyszczególnionych we wspomnianym wcześniej art. 6 UDIP znajdują się m.in. informacje dotyczące:

  1. polityki wewnętrznej i zewnętrznej;
  2. organów władzy publicznej;
  3. organów samorządów gospodarczych i zawodowych;
  4. podmiotów reprezentujących Skarb Państwa;
  5. podmiotów reprezentujących państwowe osoby prawne albo osoby prawne samorządu terytorialnego;
  6. podmiotów reprezentujących inne państwowe jednostki organizacyjne albo jednostki organizacyjne samorządu terytorialnego;
  7. podmiotów reprezentujących inne osoby lub jednostki organizacyjne, które wykonują zadania publiczne lub dysponują majątkiem publicznym, oraz osoby prawne, w których Skarb Państwa, jednostki samorządu terytorialnego lub samorządu gospodarczego albo zawodowego mają pozycję dominującą w rozumieniu przepisów o ochronie konkurencji i konsumentów;
  8. zasad funkcjonowania ww. podmiotów;
  9. danych publicznych;
  10. majątku publicznego.

Przy tej liście należy raz jeszcze podkreślić, że nie jest to katalog zamknięty, a jedynie wyszczególnienie części informacji podlegających udostępnieniu na mocy prawa dostępu do informacji publicznej. Również podmioty, które zostały określone przez ustawodawcę w art. 4 UDIP jako zobowiązane do udostępniania informacji publicznej, nie są jedynymi podlegającymi temu obowiązkowi, a jedynie kilkoma wyszczególnionymi w ramach przepisów ustawy. Obowiązek udostępnienia informacji publicznej dotyczy bowiem wszelkich podmiotów sprawujących władzę publiczną lub wykonujących zadania publiczne. W określonych sytuacjach może on obowiązywać także podmioty z sektora prywatnego, a dokładniej – zgodnie z Konstytucją RP – jeżeli wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa.

Dane publiczne wskazane w ustawie odnoszą się m.in. do dokumentów urzędowych, stanowisk organów władzy publicznej i funkcjonariuszy publicznych w sprawach publicznych, treści wystąpień i ocen dokonywanych przez organy władzy publicznej oraz informacji o stanie państwa, samorządów i ich jednostek organizacyjnych. Przez dokument urzędowy ustawodawca każe rozumieć „treść oświadczenia woli lub wiedzy, utrwaloną i podpisaną w dowolnej formie przez funkcjonariusza publicznego w rozumieniu przepisów Kodeksu karnego, w ramach jego kompetencji, skierowaną do innego podmiotu lub złożoną do akt sprawy.”. Zgodnie z art. 115 §13 Kodeksu karnego funkcjonariuszem publicznym jest:

  1. Prezydent Rzeczypospolitej Polskiej;
  2. poseł, senator, radny;
  3. poseł do Parlamentu Europejskiego;
  4. sędzia, ławnik, prokurator, funkcjonariusz finansowego organu postępowania przygotowawczego lub organu nadrzędnego nad finansowym organem postępowania przygotowawczego, notariusz, komornik, kurator sądowy, syndyk, nadzorca sądowy i zarządca, osoba orzekająca w organach dyscyplinarnych działających na podstawie ustawy;
  5. osoba będąca pracownikiem administracji rządowej, innego organu państwowego lub samorządu terytorialnego, chyba że pełni wyłącznie czynności usługowe, a także inna osoba w zakresie, w którym uprawniona jest do wydawania decyzji administracyjnych;
  6. osoba będąca pracownikiem organu kontroli państwowej lub organu kontroli samorządu terytorialnego, chyba że pełni wyłącznie czynności usługowe;
  7. osoba zajmująca kierownicze stanowisko w innej instytucji państwowej;
  8. funkcjonariusz organu powołanego do ochrony bezpieczeństwa publicznego albo funkcjonariusz Służby Więziennej;
  9. osoba pełniąca czynną służbę wojskową, z wyjątkiem terytorialnej służby wojskowej pełnionej dyspozycyjnie;
  10. pracownik międzynarodowego trybunału karnego, chyba że pełni wyłącznie czynności usługowe;
  11. inspektor Inspekcji Wodnej.

Dokumentu urzędowego w rozumieniu art. 6 ust. 2 UDIP nie będzie więc stanowić oświadczenie funkcjonariusza publicznego, które nie posiada charakteru oficjalnego. W 2022 roku Naczelny Sąd Administracyjny wskazał w swoim wyroku (sygn. III OSK 1374/21), że „terminarz spotkań, kalendarz, czy inne dokumenty związane z planowaniem działalności podmiotu nie stanowią dokumentu urzędowego, a należy je kwalifikować jako dokumenty wewnętrzne. Kalendarz ministra nie jest dokumentem urzędowym, nie stanowi bowiem ani oświadczenia woli, ani oświadczenia wiedzy, nie jest też kierowany do innego podmiotu bądź składany do akt sprawy. (…) Także elektroniczna księga wejść i wyjść nie jest nośnikiem informacji o sprawach publicznych, ponieważ jest to nośnik zawierający informację sporządzaną dla potrzeb organizacyjnych, zachowania bezpieczeństwa w budynku ministerstwa, ma charakter wewnętrzny, czysto techniczny, pomocniczo służy do zarządzania budynkiem, nie jest przy tym tworzony w związku z ustawową działalnością organu, a tylko wspomaga pracę recepcji, działu organizacyjnego w sferze porządku i bezpieczeństwa w budynku ministerstwa. W istocie elektroniczna księga wejść i wyjść do budynku ministerstwa służy jedynie pomocniczo realizacji zadań publicznych przez organ, nie przesądza, jednakże kierunków działania organu (…).”. Oznacza to więc, że pomimo iż zbiór informacji stanowiących informacje publiczne, w tym dokumenty urzędowe, jest katalogiem otwartym, to wciąż są pewne kryteria, które muszą zostać spełnione abyśmy mogli uznać coś za informację publiczną. W związku z tym trzeba być świadomym możliwości uzyskania odmownej decyzji na wniosek o udostępnienie informacji publicznej.

Ochrona danych osobowych w ramach prawa dostępu do informacji publicznej

Zgodnie z brzmieniem art. 86 RODO „dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegaja ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych (…)”. Oznacza to, że podmioty zobowiązane do udostępnienia informacji publicznej, przetwarzające tym samym dane osobowe, powinny zadbać o to, aby udostępnianie informacji publicznej odbywało się zarówno zgodnie z przepisami dotyczącymi takiego udostępniania, jak i przepisami RODO – m.in. zasadami przetwarzania zawartymi w art. 5 oraz podstawami przetwarzania przede wszystkim z art. 6 ust. 1 RODO. Z kolei ze strony przepisów o dostępie do informacji publicznej będą miały zastosowanie przede wszystkim przepisy regulujące ograniczenia prawa dostępu ze względu na ochronę danych osobowych.

Takie ograniczenia przewiduje m.in. ustawa o dostępie do informacji publicznej. Jednym z wyjątków w ramach art. 5 ust. 2 UDIP będzie m.in. ograniczenie tego prawa ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. Prywatność wskazana w ww. przepisie należy w tym przypadku rozumieć szeroko, w tym rozciągać ją bezpośrednio na ochronę danych osobowych.

W związku ze wskazanym wyżej ograniczeniem może dochodzić do sytuacji, w których podmiot zobowiązany do udostępnienia informacji publicznej odmówi takiego udostępnienia ze względu na prywatność osób, których dane znajdują się w zbiorze żądanych informacji, lub zastosuje odpowiednie mechanizmy zabezpieczenia tych danych przed ich udostępnieniem. Takim działaniem jest chociażby anonimizacja informacji, która polega na nieodwracalnym pozbawieniu danych osobowych informacji pozwalających na identyfikację osoby fizycznej, której dotyczą. Na skutek anonimizacji informacje przestają być danymi osobowymi, gdyż nie spełniają warunku bycia przypisanymi do konkretnego podmiotu danych. Warunkiem anonimizacji przy realizacji prawa dostępu do informacji publicznej jest to, aby nie wpływała ona na merytoryczną wartość udostępnianej informacji. Oznacza to, że działania mające na celu ochronę danych osobowych nie mogą w żaden sposób wpływać na walor informacyjny dokumentów, o których udostępnienie ubiega wnioskodawca. Jeżeli zatem zastosowanie anonimizacji prowadziłoby do tego, że udostępniona informacja traci warstwę merytoryczną, wówczas należy odmówić udostępnienia informacji publicznej w drodze stosownej decyzji, nie zaś stosować ww. metodę ograniczenia dostępu do informacji. Analogicznie, decyzję o odmowie udostępnienia informacji publicznej należy wydać, gdy nie jest możliwe zanonimizowanie informacji w sposób, który pozwalałby zapewnić odpowiednią ochronę danych osobowych i poszanowanie prywatności osoby fizycznej.

Rozpowszechnianie informacji publicznej a przepisy RODO

Zgodnie z art. 7 ust. 1 UDIP udostępnienie informacji publicznej przez podmiot zobowiązany do tego może nastąpić na kila sposób:

  • za pośrednictwem Biuletynu Informacji Publicznej;
  • poprzez umożliwienie wstępu na posiedzenia organów władzy publicznej oraz udostępnianie materiałów audiowizualnych i teleinformatycznych je dokumentujących;
  • poprzez udostępnienie informacji publicznej w portalu danych;
  • w odpowiedzi na wniosek o udostępnienie informacji publicznej;
  • poprzez jej wyłożenie lub wywieszenie w miejscach ogólnodostępnych;
  • w formie pisemnej lub ustnej bez pisemnego wniosku o udostępnienie w przypadku informacji publicznej, która może być udostępniona niezwłocznie.

Na gruncie przepisów RODO, jak zostało to już wcześniej wspomniane, przy przetwarzaniu danych osobowych w ramach realizacji prawa dostępu do informacji publicznej, konieczne jest spełnienie warunku posiadania odpowiedniej podstawy przetwarzania. Obowiązek ten ciąży po stronie podmiotu zobowiązanego do udostępnienia, gdyż to on jest administratorem ww. danych osobowych. W ramach dostępu do informacji publicznej można wskazać dwie główne podstawy prawne na gruncie RODO, które dopuszczają takie przetwarzanie przez podmiot zobowiązany. Będą to art. 6 ust. 1 lit. e i art. 6 ust. 1 lit. c RODO.

Pierwsza z nich – art. 6 ust. 1 lit. e – stanowi o przetwarzaniu na potrzeby realizacji zadania w interesie publicznym lub w ramach sprawowanej przez administratora władzy publicznej. W art. 86 RODO, poparty motywem 154 RODO, prawodawca jasno uznał publiczny dostęp do dokumentów urzędowych za interes publiczny, w związku z czym realizacja dostępu do informacji publicznej stanowi jednocześnie realizację interesu publicznego na gruncie ww. przepisów RODO.

Z kolei art. 6 ust. 1 lit. c RODO mówi o przetwarzaniu w ramach realizacji ciążącego na administratorze danych osobowych obowiązku prawnego. Chodzi więc o sytuacje, w których przepisy prawa narzucają na podmiot zobowiązany przetwarzanie danych osobowych w celu realizacji obowiązku wynikającego z ogólnie panujących przepisów prawa, np. przepisów dotyczących jawności oświadczeń majątkowych. Co ważne, taka przesłanka nie musi odnosić się bezpośrednio do udostępnienia informacji publicznej, ale również do czynności towarzyszących realizacji takiego żądania o udostępnienie – chociażby w zakresie wydawania decyzji w postępowaniu administracyjnym, którego strony muszą być odpowiednio oznaczone na mocy przepisów ustawy kodeks postępowania administracyjnego.

Prawo dostępu do informacji publicznej a prawo do bycia poinformowanym

Warto również zwrócić uwagę, że podmioty przetwarzające nie powinny zapominać o spełnianiu obowiązku informacyjnego wobec osób, których dane osobowe są lub mogą być udostępnione w ramach prawa dostępu do informacji.

Osobom takim należy przekazać informacje, o których mowa w art. 13-14 RODO. Aby wiedzieć, kiedy należy spełnić ten obowiązek, administrator powinien już na etapie zbierania danych osobowych wiedzieć, czy będą one przetwarzane w związku z realizacją przez niego prawa dostępu do informacji publicznej albo czy zachodzi ryzyko, że takie udostępnienie w ramach dostępu do informacji publicznej może nastąpić.

Jeżeli tak – należy spełnić obowiązek informacyjny względem osoby, której dane dotyczą, zgodnie z wymogami określonymi w ww. przepisami RODO. Obowiązek na gruncie art. 13 RODO należy spełnić w przypadku, kiedy dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, najpóźniej w momencie ich pozyskiwania. Z kolei ten sam obowiązek, ale w oparciu o art. 14 RODO, administrator powinien spełnić, jeśli pozyskuje on dane osobowe z innego źródła, niż bezpośrednio od osoby, której dotyczą. Wtedy moment spełnienia obowiązku jest zależny od przeznaczenia danych osobowych, mianowicie: przy pierwszym kontakcie, przy pierwszym udostępnieniu tych danych osobowych innemu odbiorcy lub w rozsądnym terminie po ich pozyskaniu – ale nie później niż w ciągu miesiąca od ich pozyskania.

Warto pamiętać, że objęcie danych dostępem do informacji publicznej rzutuje nie tylko na cele i podstawy prawne przetwarzania, ale również na katalog odbiorców danych, który powinien być ujawniony w ww. obowiązkach informacyjnych.

Podsumowanie

Jak widać, prawo do informacji to kluczowa część poprawnego funkcjonowania demokratycznego państwa. Powinno być ono przestrzegane i realizowane z należytą starannością przez podmioty do tego zobowiązane. Podmioty te powinny więc pamiętać przede wszystkim o tym, aby realizować to prawo zgodnie z przepisami obowiązującego prawa oraz na sposoby nich przewidziane. Nie należy zapominać także o kwestiach związanych z ochroną danych osobowych – zarówno ograniczeniach wynikających chociażby z ustawy o dostępie do informacji publicznej, jak i o wymogach jakie podmiot zobowiązany musi spełnić na gruncie przepisów RODO jako administrator danych osobowych. Do głównych obowiązków w takiej sytuacji będą należeć: przetwarzanie danych osobowych w oparciu o odpowiednią podstawę prawną, zachowanie zgodności z zasadami przetwarzania wskazanymi w art. 5 RODO oraz spełnienie obowiązku informacyjnego względem osób, których dane osobowe są przetwarzane na potrzeby realizacji prawa dostępu do informacji publicznej.

Bartosz Bęś

Młodszy specjalista ds. ochrony danych osobowych