Orzeczenie TSUE – w kontekście obowiązującego w Polsce stanu prawnego oraz pisma Prezesa Urzędu Ochrony Danych Osobowych skierowanego do Ministerstwa ds. Unii Europejskiej – należy potraktować jako pilny sygnał potrzeby nowelizacji ustawy z 6.9.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2022 r. poz. 902; dalej: DostInfPubU). Szczególną uwagę należy zwrócić na niedostateczne powiązanie tej ustawy z reżimem ochrony danych osobowych oraz brak jasnych procedur zapewniających zgodność z art. 6 ust. 2 i art. 86 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO).

Zakres analizy Trybunału

W analizowanej sprawie Ministerstwo Zdrowia Republiki Czeskiej otrzymało wniosek o dostęp do dokumentów zawierających dane osobowe swoich pracowników, w tym imiona, nazwiska, dane o funkcjach służbowych i zakresie obowiązków. Część tych informacji została udostępniona, jednak część – ze względu na ochronę danych osobowych – nie została przekazana. W związku z tym powstała konieczność zrównoważenia prawa do informacji publicznej i prawa do prywatności.

Trybunał wskazał, że zgodnie z art. 6 ust. 1 lit. e) RODO przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest niezbędne do wykonania zadania realizowanego w interesie publicznym, a na mocy art. 6 ust. 2 RODO państwa członkowskie mogą przyjąć bardziej szczegółowe przepisy doprecyzowujące warunki takiego przetwarzania. Z kolei art. 86 RODO umożliwia pogodzenie publicznego dostępu do dokumentów urzędowych z ochroną danych osobowych, pod warunkiem, że państwo członkowskie przyjmie odpowiednie przepisy prawne.

TSUE wskazał również, że ochrona danych osobowych wymaga mechanizmów gwarantujących autonomię informacyjną jednostki. Jednym z tych mechanizmów jest umożliwienie osobie, której dane mają zostać ujawnione, wcześniejszego przedstawienia stanowiska – chyba że jest to niewykonalne, zbyt uciążliwe lub nieproporcjonalne.

Polski kontekst prawny

Artykuł 5 ust. 2 DostInfPubU przewiduje ograniczenie prawa do informacji publicznej ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Brakuje natomiast jakiejkolwiek normy odwołującej się bezpośrednio do ochrony danych osobowych, zasad ich przetwarzania oraz obowiązków administratora, wynikających z RODO. Powyższe oznacza, że obowiązek pogodzenia prawa do informacji z ochroną danych osobowych spoczywa na administratorze – bez jasnych podstaw ustawowych i trybu działania. Prowadzi to do ryzyka naruszenia zasady legalizmu (art. 7 Konstytucji RP) oraz zasady rozliczności z art. 5 ust. 2 RODO.

Beck Akademia - praktyczne szkolenia online - sprawdź aktualny harmonogram Sprawdź

RODO jako rama ochrony danych w dostępie do informacji

Artykuł 6 ust. 2 RODO odgrywa kluczową rolę w przypadkach, gdy przetwarzanie danych osobowych odbywa się w oparciu o interes publiczny. Przepis ten stanowi podstawę do tworzenia bardziej szczegółowych regulacji krajowych, które mają doprecyzować warunki legalności przetwarzania. W kontekście DostInfPubU oznacza to obowiązek ustawodawcy krajowego w zakresie:

  • zdefiniowania, kiedy udostępnienie danych jest „niezbędne” w rozumieniu RODO,
  • określenia kryteriów oceny proporcjonalności między interesem publicznym a prywatnością.

Z kolei art. 86 RODO wprost odnosi się do ujawniania danych osobowych w dokumentach urzędowych. Przepis ten wymaga, by krajowe regulacje zawierały równoważniki umożliwiające pogodzenie jawności życia publicznego z ochroną danych. W Polsce taki „równoważnik” nie został do tej pory legislacyjnie wprowadzony.

Konieczność nowelizacji – ocena propozycji Prezesa UODO

Stanowisko Prezesa UODO wskazuje na realną potrzebę uzupełnienia DostInfPubU o przepisy uwzględniające wymogi RODO. Obecny art. 5 ust. 2 DostInfPubU nie zapewnia administratorowi jasnych kryteriów oceny dopuszczalności udostępnienia danych osobowych, ani nie przewiduje procedur konsultacyjnych z osobą, której dane dotyczą. Brak odniesień do zasad RODO, takich jak minimalizacja czy ograniczenie celu, rodzi niepewność i zwiększa ryzyko naruszeń.

Prezes UODO słusznie postuluje, by ustawa przewidywała procedurę umożliwiającą osobie fizycznej zajęcie stanowiska przed ujawnieniem jej danych – co odpowiada standardowi wyznaczonemu w wyroku TSUE. Równocześnie, wprowadzenie wymogu uzasadniania decyzji o ujawnieniu danych oraz uproszczonej oceny skutków (DPIA) w przypadkach bardziej wrażliwych wzmocni zasadę rozliczalności i ułatwi weryfikację legalności działania organów.

Celem tych zmian nie jest ograniczenie jawności, lecz zapewnienie jej zgodności z prawem unijnym i skuteczniejsza ochrona praw jednostki w przestrzeni publicznej. Warto podkreślić, że Prezes UODO swoją analizę TSUE odnosił bowiem jedynie do czeskiego prawa, tj. ustawy nr 106/1999 o dostępie, na podstawie której tamtejszy sąd taki obowiązek wyinterpretował. Każde państwo samodzielnie określa sposób wyważenia relacji między prawami, z zachowaniem warunków określonych w RODO.

Znaczenie wyroku TSUE i skutki dla porządku krajowego

Wyrok C-710/23 ma bezpośredni wpływ na polski porządek prawny i wymaga dostosowania krajowej ustawy do wymogów art. 6 ust. 2-3 i art. 86 RODO. Państwa członkowskie mają obowiązek wdrożyć przepisy umożliwiające pogodzenie prawa do informacji z prawem do ochrony danych. Brak nowelizacji grozi wszczęciem postępowania przeciwnaruszeniowego przez Komisję Europejską, a także odpowiedzialnością odszkodowawczą państwa na gruncie zasady Francovich (Wyrok Trybunału Sprawiedliwości z 19.11.1991 r., C-9/90, Legalis).

Z punktu widzenia praktyki, niedostosowanie przepisów pogłębia niepewność administratorów danych publicznych i zwiększa liczbę potencjalnych naruszeń. Ujednolicenie regulacji poprzez zmianę ustawy zapewni większą przewidywalność i zgodność działań organów z RODO oraz orzecznictwem Trybunału. Jednocześnie umożliwi realizację konstytucyjnego prawa do informacji w sposób, który nie narusza godności i prywatności obywateli.

Konkluzja

Zarówno wyrok C-710/23, jak i inicjatywa Prezesa UODO, jasno wskazują na potrzebę dostosowania polskich przepisów w zakresie dostępu do informacji publicznej do wymogów wynikających z prawa unijnego. Utrzymanie obecnego stanu prawnego prowadzi do niepewności po stronie administratorów i może skutkować naruszeniem podstawowych praw jednostki.

Zmiany legislacyjne powinny uwzględniać nie tylko kwestie formalne (np. odwołanie do RODO), ale również materialne gwarancje autonomii informacyjnej i proporcjonalności ujawniania danych. Implementacja tych postulatów będzie świadectwem rzeczywistej integracji polskiego porządku prawnego z systemem unijnym oraz dowodem dojrzałości instytucjonalnej państwa prawa.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →