Mając na względzie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L 2016.119.1) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) mając na uwadze zwracanie się z radnych o udostepnienie dokumentów zawierzających dane osobowe oraz stanowisko wyrażone przez Urząd ochrony Danych osobowych we wrześniu 2021 roku w sprawie dostępu do materiałów radnych samorządów zgodnie z art.21 ust.2a (w tym elektronicznych) zawierających dane osobowe należy wziąć pod uwagę :
a) w przypadku udostępnienia dokumentów zawierających dane osobowe w trybie wnioskowym radnemu , wynikającym z ustawy o informacji publicznej – po dokonaniu analizy czy dokument podlega informacji publicznej oraz po dokonaniu analizy prawnej czy prawo do informacji publicznej w tym przypadku nie podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych lub prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy,
b) w przypadku udostępnienia dokumentów zawierających dane osobowe w trybie wnioskowym wynikającym z art. 21 ust. 2a ustawy o samorządzie powiatowym, po uzyskaniu opinii, że podmiot udostępnienia oraz wgląd w działalność organów samorządów ( dokumenty, teczki akt osobowych, zwolnienia lekarskie, postępowania administracyjne, skargi, petycje) , nie narusza dóbr osobistych innych osób (nie tylko prawa do ochrony danych, ale praw autorskich czy tajemnic przedsiębiorstwa). Radny może korzystać z przysługujących mu uprawnień kontrolnych tylko i wyłącznie w zakresie mieszczącym się w obszarze zadań i kompetencji organu , w tym zakresie stoję na stanowisku, że udostępnienie dokumentów nie może być ad hoc i musi zakładać wymiar czasowy, niezbędny do przeprowadzenia analizy dokumentów w zakresie ochrony dóbr osobistych ( art.21 ust.2a u.os.p.),
c) obowiązkiem organu, do którego zostało skierowane pytanie o udzielenie informacji, jest w pierwszej kolejności ustalenie, w jakim trybie ma nastąpić odpowiedź w zakresie udzielenia informacji. W sytuacji pojawienia się jakichkolwiek wątpliwości z tym związanych po stronie podmiotu udzielającego informacji jest on zobowiązany wystąpić do
wnioskodawcy – w tym przypadku do radnego samorządowego – i wezwać go do jednoznacznego sprecyzowania trybu jego działania, gdyż takich wątpliwości nie może samodzielnie rozstrzygać podmiot zobowiązany, a ich jednoznaczne rozstrzygnięcie jest istotne z punktu widzenia trybu i przepisów, w oparciu, o które zostanie udzielona informacja publiczna ,
d) każdorazowo należy dokonywać analizy adekwatności danych w tym dokumentów zawierających dane w postaci PESEL, adresów zamieszkania zleceniobiorców, numerów telefonów, adresów mailowych, które stanowią grupę danych nieadekwatnych do celów wykonywania mandatu radnego lub pozostają niecelowe,
e) w przypadku pojawienia się żądania udostępnia oryginału dokumentu należy poddać go ścisłej analizie czy zachodzą przesłanki anonimizacji dokumentu z zakresie adekwatności danych osobowych (wyrok NSA z 23.06.2021 r., III OSK 2304/21),
f) należy wyznaczać pomieszczenia do udostepnienia danych, uniemożliwiające dostęp radnego do ekranów komputerów lub kontaktów z danymi aktualnie przetwarzanymi ( np. informacje ustne o danych podczas kontaktu z klientem urzędu). Uprawnienie wstępu do pomieszczeń powinno być realizowane w godzinach pracy urzędu. Należy również zwrócić uwagę na to, by omawiane uprawnienia nie prowadziły do paraliżu struktur organizacyjnych ,
g) należy zakazać fotografowania dokumentów prywatnymi smartfonami lub tabletami oraz innym prywatnymi środkami wizualnymi ( cyfrowy aparat fotograficzny),
h) należy trwale znakować sprzęt informatyczny, w tym radnych (tablety) w celu nadania cech identyfikacji sprzętu jako służbowego, o którym mowa w newsletterze nr 9 z 2021 roku.
Nadmieniam, że Administratorzy zobowiązani do udostępnienia informacji i materiałów radnemu muszą więc podjąć wszelkie czynności, by w takich przypadkach udostępnienie nie obejmowało informacji naruszających dobra osobiste osób fizycznych. Jedną z takich czynności może być m.in. anonimizacji danych osobowych zawartych w udostępnianych dokumentach. Jednocześnie przypominam, że zgodnie z zasadą minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Radny może więc uzyskać dostęp do danych osobowych jedynie w zakresie niezbędnym do wykonania celu realizowanego na podstawie art. 21 ustawy o samorządzie powiatowym.
W zakresie wykonywania swoich autonomicznych kompetencji radny jako administrator ma obowiązek realizować wszystkie obowiązki wynikające z RODO, w tym powinien być wyposażony w procedury przetwarzania danych ( art.24 RODO) i uwzględniać ryzyka przetwarzania zgodnie z art. 32 RODO poprzez zapewnienie adekwatnych środków technicznych i organizacyjnych.
Udostępnienie danych osobowych jest przetwarzaniem, które nie zostało zdefiniowane jednoznacznie w przepisach RODO. Wnioskodawca powinien ( w świetle wyroków sądów oraz norm prawa) wskazać na jakiej podstawie żąda udostępnienia danych, zaś administrator powinien zweryfikować tę podstawę – co do jej aktualności i trafności. Administrator może wezwać takiego wnioskodawcę do poprawienia błędów we wniosku ( w przypadku, gdy przepis zakłada tryb wnioskowy), jeśli zachodzi taka potrzeba. Przepisy o ochronie danych osobowych nie narzucają formy składanego wniosku o udostępnienie. Ważne jednak, aby możliwe było zidentyfikowanie osoby wnioskodawcy i jego uprawnienia do otrzymania danych. Warto tez przytoczyć część wyroku Naczelnego Sądu Administracyjnego z dnia 10 listopada 2015 r. I OSK 1210/14 Dochodzenie roszczeń a udostępnienie danych osobowych. „W takim kontekście ocena czy cel realizowany przez administratora danych osobowych jest prawnie usprawiedliwiony należy do kompetencji organu rozstrzygającego sprawę administracyjną . Należy pamiętać, że każdy wniosek o udostępnienie danych wymaga indywidualnej analizy. Rozpatrujący go administrator, który podejmuje ostateczną decyzję w tej sprawie, musi wziąć przy tym pod uwagę:
a) obowiązujące przepisy prawa, w tym prawo do ochrony danych,
b) rodzaj danych osobowych,
c) cel,
d) uzasadnienie potrzeby posiadania danych przez podmiot, który występuje o ich udostępnienie, w tym wskazanie przez niego podstawy prawnej żądania.
Warto też przytoczyć istotny wyroki ; cyt.: – WSA w Poznaniu z 23 lipca 2020 r. (IV SA/Po 71/20) czytamy, że w przepisach ustawy o samorządzie gminnym, nie zawarto delegacji do tworzenia przez radę gminy procedury określającej sposób realizacji, przyznanych przez ustawodawcę w art. 24 ust. 2 uprawnień radnego czy wyrok WSA w Warszawie w wyroku z 26 kwietnia 2019 r., sygn. akt II SA/Wa 13/19). cyt.: Słusznie wskazuje zatem wojewoda, że warunkiem ustawowym korzystania z prawa uzyskiwania informacji i materiałów przez radnego, w świetle art. 24 ust. 2 u.s.g. jest zachowanie przez niego przepisów o tajemnicy prawnie chronionej.