Czy RODO utrudni dostęp do informacji publicznej?

Kontynuując krótki serial poświęcony magicznym cyferkom 2016/679 — uprzejmie informuję, że tematyka związana z ochroną danych osobowych będzie gościła na łamach „Czasopisma” do piątku (niezainteresowanych przepraszam) — dziś krótkie dywagacje na temat: czy to prawda, że RODO tak bardzo wyklucza przetwarzanie danych osobowych, że nie będzie już informacji publicznej, nic nie będzie?
Bo jeśli tak, to może się okazać, że już od piątku będzie zakazane informowanie o imieniu i nazwisku osób piastujących funkcje publiczne — czyli zamiast „prezydent Andrzej Duda” będziemy posługiwać się kryptonimami (prezydent, premier, etc.).


RODO dane osobowe informacja publiczna

Pierwsza ofiara RODO? Nie, poseł Czarnecki zdecydował się nie ujawniać swojego nazwiska z całkiem innych przyczyn niż RODO (fot. Olgierd Rudak, CC-BY-SA 3.0)


Uprzejmie informuję, że sprawdziłem i wyszło mi, że nie — RODO dopuszcza możliwość ujawniania danych osobowych, które są zawarte w dokumentach urzędowych, jeśli wymaga tego dostęp do informacji publicznej.

art. 86 RODO (Dz.U. L 119 z 4.5.2016)
Przetwarzanie a publiczny dostęp do dokumentów urzędowych

Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia.

Dla jasności: rozporządzenie o ochronie danych osobowych nie nakazuje udostępniania danych osobowych, nawet jeśli są one elementem danych podlegających udostępnieniu — ale też tego nie zakazuje. RODO pozwala na przyjęcie prawa, które zezwala na udostępnianie informacji publicznej zawierającej dane osobowe, przy poszanowaniu oczywiście prawa do ochrony danych osobowych (takiego jak obowiązujący art. 5 ust. 2 udip lub też art. 61 ust. 1 i ust. 3 Konstytucji RP).

art. 5 ust. 2 ustawy o dostępie do informacji publicznej
Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji (…)

Oznacza to, że z punktu widzenia zwykłego użytkownika RODO nic nie zmienia: organy nadal będą pojmowały prywatność jednostek zawężająco (oczywiście tam, gdzie dotyczy ona jednostek powiązanych z organami, bo przecież poza tym problem naszej prywatności właściwie nie istnieje), być może teraz posiłkując się magicznymi czterema literkami — ale tak czy inaczej nowa regulacja sama w sobie nie zakazuje, nie sprzeciwia się i nie ogranicza dostępu do danych osobowych po 25 maja 2018 r. mniej lub bardziej, niż dotąd.

Będzie też można rzecz jasna nadal ujawniać dane personalne prezydenta, premiera, posłów, ministrów, burmistrzów, rajców, etc. etc.

Na marginesie: ciekawe jak wyglądałby spór o wyższość prawa unijnego nad polską konstytucją, gdyby się okazało, że RODO nie przewiduje takich wyłączeń — a nasza ustawa zasadnicza przewiduje?

22 comments for “Czy RODO utrudni dostęp do informacji publicznej?

  1. 22 maja 2018 at 12:00

    To ja może z innym „straszakiem”. Czy w wyniku RODO nie będzie można publikować firmowych zdjęć na Facebooku? Wizerunek w myśl rozporządzenia jest daną osobową; dana ta jest przekazywana poza terytorium UE i wymaga stosownego poinformowania właściciela wizerunku o jego przekazaniu i ryzyku z tym związanym… no i oczywiście uzyskania zgody, bo ciężko będzie to z innego punktu wymusić. Myślę tu o zdjęciach z wydarzeń miejskich dla przykładu – festyn, 1000 osób, prawo autorskie ze swoją ochroną wizerunku już nie obowiązuje… ale jest RODO.

    • Olgierd Rudak
      22 maja 2018 at 12:11

      Wizerunek podlega pod RODO tylko wówczas, jeśli stanowi dane biometryczne (art. 4 pkt 14 RODO), a poza tym jak w pkt 51 motywów RODO:

      Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

      Czyli nie, zdjęcia z grilla nie są danymi biometrycznymi.

      Ale teraz mamy przyczynek do dyskusji nt. definicji danych osobowych (w komentarzach tutaj https://czasopismo.legeartis.org/2018/05/rodo-kamerki-samochodowe.html) — bo jednak Fejbóś potrafi nawet na takich niebiometrycznych zdjęciach rozpoznać ludzi, więc idąc po tej linii zaraz się okaże, że wrzucając jakiekolwiek zdjęcia na Fejsbósia zasilamy go danymi osobowymi.
      Ja jednak uważam, że nie (ale Fejsbóś tak).

      • 22 maja 2018 at 12:45

        Ale z tego mi wynika, że fotografia i idący za nią wizerunek nie stanowią danych należących do „szczególnych kategorii” (zapewne w tym sensie, że zdjęcie w naturalny sposób ujawnia „rasę”, a pomimo tego zalicza się je do danych zwykłych) w większości przypadków. Czyli zwykły wizerunek (niebiometryczny) traktujemy jak daną osobową zwykłą, a szczególny (biometryczny) jak dane biometryczne.

        • Olgierd Rudak
          22 maja 2018 at 15:51

          A czy zdjęcie kowboja Marlboro ujawnia dane o nałogach? ;-)

          Uważam, że zwykły wizerunek traktujemy jako zwykły wizerunek, zaś dane biometryczne są daną osobową, w dodatku wrażliwą.

          • 22 maja 2018 at 16:05

            Ok, tylko po co w takim razie cały ten cyrk z monitoringiem wizyjnym (w tym ustawową paniką, że bez ustawy trzeba będzie wyłączyć miejskie monitoringi, bo RODO owszem zezwala ale pod warunkiem istnienia lokalnego ustawodawstwa – art 114 projektu ustawy). Zapewne nie chodziło im o wizyjny monitoring biometryczny ;)

            • Olgierd Rudak
              22 maja 2018 at 16:26

              Bo skoro podstawa do monitoringu jest w ustawie, to administrator nie musi wykonywać obowiązku informacyjnego (art. 14 ust. 5 lit. c RODO).

              Poza tym (ale to raczej nie jest kluczowe) „monitorowanie na dużą skalę miejsc publicznie dostępnych – w szczególności za pomocą urządzeń optyczno-elektronicznych” zdaniem prawodawcy jest na tyle szczególnym rodzajem przetwarzania, że m.in. zawsze wymaga powołania IOD, oceny skutków przetwarzania.

              Zapewne dlatego, że z punktu widzenia operatora dużej bazy, który ma sieć kamer, możliwość przechowywania danych przez dłuższy czas (ale max. 3 miesiące), istnieje możliwość ustalenia tożsamości osób tylko na podstawie twarzy / adresu / ścieżek, którymi się porusza / tego z kim spaceruje (i pewnie jeszcze paru innych rzeczy).

              Dla mnie taka informacja jest niczym podobnie jak awatar przy komentarzu (bo może jest, może po piątku powinienem coś-tam-coś-tam?)

              • (An)Atom
                22 maja 2018 at 17:31

                Czy informacja o tym, że ktoś nosi okulary jest DO wrażliwą? Przecież okulary każdy widzi. A informacja o tym, że ktoś nosi soczewki? Tutaj nie ma cwaniaka nad Warszawiaka, bo soczewek nie widzi nikt. I najważniejsze – czy informacja o noszeniu silikonowych miseczek (push-up) jest DO wrażliwą?

  2. stereofoniczny
    22 maja 2018 at 13:14

    Czy RODO czasem nie łamie klasycznego podziału prawa wtórnego na rozporządzenia oraz dyrektywy? Proszę spojrzeć na motyw 53 („Państwa mogą wprowadzić dalsze warunki, w tym ograniczenia” –> czyli nie będzie wszędzie identyko), motyw 152 („Harmonizować” może tylko dyrektywa; rozporządzenie jest od ujednolicania przecież) czy przywołany przez Ciebie art. 86 („…zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot” –> jest 28 państw, więc tyle samo praw będzie).

    • Olgierd Rudak
      22 maja 2018 at 13:45

      Przyznam, że jeśli chodzi o prawo EU nie jestem aż taki oblatany (nie było na studiach ;-) — ale czy rozporządzenia nie mogą zezwalać na ich „przystosowanie” w określonym kraju? I takie przystosowanie nie jest implementacją jak w przypadku dyrektyw?

  3. (An)Atom
    22 maja 2018 at 17:32

    Czy informacja o tym, że ktoś nosi okulary jest DO wrażliwą? Przecież okulary każdy widzi. A informacja o tym, że ktoś nosi soczewki? Tutaj nie ma cwaniaka nad Warszawiaka, bo soczewek nie widzi nikt. I najważniejsze – czy informacja o noszeniu silikonowych miseczek (push-up) jest DO wrażliwą?

    • Olgierd Rudak
      22 maja 2018 at 19:54

      Na szczęście postrzeganie świata nie jest przetwarzaniem danych osobowych, nawet jeśli się sobie przedstawiamy („Jo Asia! — Jo Jacek!”).

  4. 22 maja 2018 at 20:17

    To ja mam pytanie, jak się ma RODO do KPA? A dokładniej, obowiązku przekazania pisma do odpowiedniego urzędu.
    Czy teraz urzędy, będą musiały pomiędzy sobą podpisać umowę na przetwarzanie danych osobowych?

    • Olgierd Rudak
      22 maja 2018 at 20:33

      Nie muszą nawet obecnie (art. 31 ust. 2a uoodo), ale przyznam, że skoro przepis pochodzi z dość niedawnej nowelizacji, to oznacza, że przez wcześniejsze prawie dwadzieścia lat literalnie rzecz ujmując może i powinny były.

  5. 22 maja 2018 at 20:20

    Czy mi się dobrze kojarzy, iż pisałeś tu coś o ogłoszeniu jakiegoś rozporządzenia o RODO? Niestety, pod tagiem RODO tego wpisu niema.

    PS. Tak naprawdę, jeśli o RODO chodzi, to o jakich aktach prawa mówimy (PL/EU, ustawy/rozporządzenia).

    • Olgierd Rudak
      22 maja 2018 at 20:29

      „RODO” — ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) — aka „GDPR”.

      U nas będą zapewne dwie ustawy, jedną prezydent podpisał dziś, druga chyba jest gdzieś w młynku legislacyjnym.

      • 22 maja 2018 at 20:57

        A jakiegoś rozporządzenia nie było? Przewidziało mi się to? A może pisałeś, iż coś weszło do konsultacji (do tego portalu).

        • Olgierd Rudak
          22 maja 2018 at 21:07

          Jakiego rozporządzenia? Wykonawczego? Nie było, bo nie ma do czego (raczej w piątek kończą się dwa rozporządzenia jak i cała uoodo).

          Nowa uoodo (czuję, że będzie w Dz.U. jutro) chyba nawet nie przewiduje podstawy do wydania do niej rozporządzeń — http://orka.sejm.gov.pl/proc8.nsf/ustawy/2410_u.htm

  6. Jam
    23 maja 2018 at 08:46

    Olgierd jak wygląda sprawa adresów IP? GIODO twierdzi, że to są dane osobowe. Tak więc w zasadzie KAŻDY posiadacz strony jest „przetwórcą” danych osobowych. Przecież na każdym serwerze są tzw. logi, gdzie odkładają się adresy IP.

    • Olgierd Rudak
      23 maja 2018 at 09:12

      GIODO może twierdzić co chce, od piątku adresy IP stanowią dane osobowe. Więc każdy, kto udostępnia swoją stronę, przetwarza te dane. Podobnie jak przetwarza dane zapisując numery telefoniczne w swoim smartfonie (wysyłając je w dodatku na jakiś bliżej niesprecyzowany serwer), etc.

  7. Jam
    23 maja 2018 at 10:38

    No może nie do końca każdy. W sumie jak się wyłączy logi serwera to się tych danych siłą rzeczy nie przetwarza :) Pytanie tylko czy w przypadku wyłączenia zapisywania danych do logów w razie żądania od „uprawnionego organu” udostępnienia info kto o danej godzinie wchodził na naszą stronę nie będzie miał nieprzyjemności w przypadku „nieposiadania” logów.

    • Olgierd Rudak
      23 maja 2018 at 10:44

      Nie będzie miał, bo nie ma obowiązku przetwarzania danych osobowych (eksploatacyjnych, etc.). Retencja dotyczy telekomów, ale nie np. wydawców stron internetowych.

      Słowem: można przetwarzać takie dane osobowe, ale nie trzeba, a nie każde przetwarzanie powoduje jakieś obowiązki wynikające z RODO (a jeśli powoduje, to także na gruncie dziś obowiązującego prawa).

  8. 10 sierpnia 2018 at 13:07

    Tak teraz do mnie dotarło – mamy sobie Jednostkę Samorządu Terytorialnego. JST chciałaby wysłać zaproszenia do radnych gminy na wydarzenie. Jakich mamy radnych? Ano można sobie łatwo znaleźć, bo jest w gminnym BIPie. I teraz… JST szuka podstawy do przetwarzania tych danych w art. 6 ust. 1. Do wyboru jest wstępnie:
    – przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (chodzi o realizację zadań statutowych jednostki; ale raczej śliski temat)
    – przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (no raczej też nie)
    – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów (to by było super, gdyby nie napisane linijkę niżej „nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań; chyba, że naciągniemy i uznamy, że to nie należy do kategorii „realizacji swoich zadań”).
    Wychodzi na to, że JST nie może sobie tak zwyczajnie pozyskiwać danych powszechnie dostępnych, bo nie ma podstawy do ich przetwarzania. Ciężko jest mi wyobrazić sobie dom kultury (wydało się jakiego rodzaju to JST ;), który nie może kontaktować się z artystami inaczej niż przez agencje (bo nie może tak po prostu wejść na ich stronę i skorzystać z zakładki „kontakt”, gdzie będzie ich email, czy numer telefonu; chyba, że uznamy iż zamieszczenie danych kontaktowych stanowi jednoznaczne okazanie woli; w przypadku listy radnych na stronie urzędu już ciężko byłoby wykazać tę jednoznaczność)… Ale to tak dygresyjnie nieco, wróćmy do radnych – razem z zaproszeniem należy jeszcze im wysłać litanię zawartą w art. 14 :)

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.