Prezes Urzędu Ochrony Danych Osobowych wskazuje na konieczność nowelizacji ustawy o dostępie do informacji publicznej w związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z 3 kwietnia 2025 r. (sprawa C-710/23 – Ministerstwo zdravotnictví). W ocenie organu nadzorczego obecne przepisy nie zapewniają wystarczającej ochrony danych osobowych i nie spełniają wymogów określonych w art. 6 ust. 2 oraz art. 86 RODO.
Dotychczasowe przepisy ustawy o dostępie do informacji publicznej nie gwarantują wystarczającej ochrony danych osobowych – tak wynika z analizy Prezesa UODO, który wskazuje na konieczność nowelizacji prawa w świetle najnowszego wyroku TSUE. Trybunał wyraźnie zaznaczył, że państwa członkowskie Unii Europejskiej są zobowiązane do precyzyjnego uregulowania relacji między prawem do informacji a prawem do prywatności. W ocenie UODO polskie przepisy nie spełniają obecnych wymogów wynikających z art. 6 ust. 2 oraz art. 86 RODO, co naraża administratorów danych na niepewność interpretacyjną i ryzyko naruszeń. Prezes Urzędu zaapelował do rządu o pilne dostosowanie krajowych regulacji do unijnych standardów.
Trybunał w analizowanym wyroku podkreślił, że państwa członkowskie mogą – i powinny – wprowadzać bardziej szczegółowe regulacje dotyczące przetwarzania danych w celu realizacji zadań w interesie publicznym (art. 6 ust. 1 lit. c i e RODO), zgodnie z art. 6 ust. 2 RODO. W kontekście dostępu do dokumentów urzędowych art. 86 RODO przewiduje możliwość ujawniania danych osobowych zawartych w tych dokumentach wyłącznie na podstawie prawa Unii lub prawa krajowego, przy zachowaniu równowagi między prawem do informacji a prawem do ochrony danych.
Prezes UODO zwraca uwagę, że wskazane przez TSUE standardy należy odnieść przede wszystkim do art. 5 ust. 2 ustawy o dostępie do informacji publicznej. Przepis ten przewiduje ograniczenie prawa do informacji ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy, z wyłączeniem osób pełniących funkcje publiczne. Problemem – jak wskazuje UODO – jest jednak brak bezpośredniego odniesienia tego przepisu do zasad ochrony danych osobowych wynikających z RODO.
Z orzecznictwa sądów administracyjnych wynika co prawda, że prawo do ochrony danych osobowych mieści się w pojęciu prawa do prywatności, jednak – zdaniem UODO – nie jest to wystarczające. Przede wszystkim brakuje precyzyjnych przesłanek, na podstawie których administrator miałby ocenić, czy ujawnienie danych osobowych zawartych w dokumentach urzędowych nie narusza prawa do prywatności.
W analizowanym orzeczeniu TSUE wskazał, że przed ujawnieniem dokumentów zawierających dane osobowe, administrator powinien – co do zasady – skonsultować się z osobą, której dane dotyczą. Odstępstwo od tej zasady możliwe jest
jedynie w przypadkach, gdy:
Brak takich procedur w polskich przepisach – w ocenie Prezesa UODO – powoduje, że administratorzy realizujący wnioski o udostępnienie informacji publicznej działają w warunkach niepewności prawnej. Nie jest bowiem jasne, czy, kiedy i w jakim
trybie należy konsultować udostępnienie danych z osobą, której one dotyczą, ani jakie kryteria należy wziąć pod uwagę przy ocenie ryzyka naruszenia prywatności.
Prezes UODO konkluduje, że polskie przepisy – w szczególności art. 5 ust. 2 ustawy o dostępie do informacji publicznej – nie spełniają wymogów precyzji i przejrzystości, o których mowa w art. 6 ust. 2 RODO. W związku z tym organ postuluje konieczność nowelizacji ustawy w celu:
Konieczna jest szczególna ostrożność przy realizacji wniosków o udostępnienie informacji publicznej zawierającej dane osobowe – aż do momentu wprowadzenia odpowiednich zmian legislacyjnych.
stanowisko Prezesa UODO, DOL.0623.1.202
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
