Ochrona danych osobowych a dostęp do informacji publicznej
Dostęp do informacji publicznej jest dzisiaj palącym problemem dla wielu instytucji publicznych (szczególnie urzędów) lub realizujących zadania publiczne, które po pierwsze są zasypywane pytaniami w tym trybie, po drugie nie wiedzą jak sobie z nimi radzić. Moja ogólna uwaga do zagadnienia i zalecenie jest takie, aby wprowadzić w swoim podmiocie procedurę postępowania z zapytaniem i udzielania odpowiedzi w trybie dostępu do informacji publicznej. Moje doświadczenie, wynikające z przeprowadzania audytów w instytucjach publicznych, jest takie, że pracownicy tych podmiotów zupełnie nie wiedzą, co robić z pytaniami o informację publiczną. Zazwyczaj jest w takim podmiocie wąskie grono osób, które mają właściwą wiedzę i potrafią udzielić odpowiedzi, jednakże szeregowi pracownicy, do których takie pytania są kierowane, nie wiedzą co z nimi robić. Podczas audytów stwierdziłam, że gdy do pracownika instytucji publicznej przychodzi e-mail z pytaniem w trybie dostępu do informacji publicznej, to albo od razu go kasuje, bo uznaje, że wymagana jest forma pisemna albo żąda udzielenia pełnych danych nadawcy pytania. Dodatkowo często odpowiedzi są udzielane przez samych pracowników, a powinny być konsultowane przynajmniej z osobą zajmującą się tego typu kwestiami i/lub z prawnikiem. Nie powinno w tym całym łańcuszku zabraknąć ABI. Wprowadzenie jednolitej procedury i przeszkolenie pracowników w zakresie postępowania z takimi postępowaniami, pozwoli uniknąć stresów i nieprzyjemnych sytuacji.
Opowiem dzisiaj o odpowiadaniu na pytania o informację publiczną w kontekście pytania zadanego w trybie ustawy o dostępie do informacji publicznej, które zostało skierowane przez Fundację Promocji Bezpieczeństwa. Samo pytanie także stanowi informację publiczną, więc poniżej je przytaczam:
Szanowni Państwo!
W związku z korespondencją Prezesa NIK skierowaną do Prezydentów,
Burmistrzów i Wójtów ws. kontroli wykorzystania monitoringu w szkołach,
kopia pisma: <https://fundacjapb.pl/nik_zaleca_kontrole_szkol_urzedom/>
https://fundacjapb.pl/nik_zaleca_kontrole_szkol_urzedom/
na podstawie art. 61 Konstytucji RP oraz art. 10 ust. 1 ustawy z dnia 6
września 2001 r. o dostępie do informacji publicznej wnoszę o udostępnienie
następującej informacji:
1) Czy po dniu 1.01.2015 r. w zakresie ochrony danych osobowych oraz
Krajowych Ram Interoperacyjności korzystano z usług firm zewnętrznych lub
osób fizycznych prowadzących działalność gospodarczą.
2) Jeżeli w pkt. 1 korzystano z usług podmiotów zewnętrznych to proszę o
podanie:
a) dat zawarcia umów;
b) nazw i adresów siedziby podmiotów;
c) zakresu zleconych prac w poszczególnych miesiącach oraz wysokości
wypłaconego wynagrodzenia w poszczególnych miesiącach;
d) informacji czy prace zostały w całości poprawnie wykonane czy nałożono na
wykonawców kary umowne, jeśli tak to w jakiej wysokości.
3) Proszę o podanie dat powołania i ewentualnego odwołania Administratorów
Bezpieczeństwa Informacji w rozumieniu art. 36a. ust. 1 Ustawy, ich
stanowiska, imienia i nazwiska oraz numeru telefonu służbowego, ewentualnie
o podanie miejsca publikacji na stronie internetowej (dokładnego odnośnika
URL) i ewentualnych zmian osób pełniących funkcję ABI.
4) Czy po dniu 1.01.2015 r. opracowano dokumentację dotyczącą ochrony danych
osobowych wymaganą przepisami art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997
r. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz.
U. z 2014 r., poz. 1182 z późn. zm.) [zwanej dalej Ustawą] w postaci:
a) polityki bezpieczeństwa danych osobowych;
b) instrukcji zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych.
5) Jeżeli opracowano dokumentację wskazaną w pkt. 4 powyżej to proszę o
podanie daty zatwierdzenia i podanie miejsca publikacji zarządzenia
wdrażającego ww. dokumentację na stronie internetowej (dokładnego odnośnika
URL) lub w wypadku nie opublikowania na stronie internetowej proszę o
przesłanie kopii elektronicznej ww. zarządzenia.
6) Czy Administrator Bezpieczeństwa Informacji opracował rejestr zbiorów
danych osobowych określony w art. 36a. ust. 2 pkt 2 Ustawy.
7) Czy Administrator Bezpieczeństwa Informacji opracował za rok 2015 i rok
2016 plany sprawdzeń.
8) Czy został zgłoszony do rejestracji w GIODO zbiór Monitoring?
9) Proszę o podanie nazw zbiorów danych osobowych zgłoszonych do rejestracji
w GIODO po 01.01.2015r. i dat wysłania ww. zgłoszeń.
Na podstawie art. 14 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do
informacji publicznej proszę o przesłanie odpowiedzi na niniejszy wniosek
wyłącznie na podany adres email: wniosek_DDIP@fundacjapb.pl
<mailto:wniosek_DDIP@fundacjapb.pl>
Pozostajemy z poważaniem,
Fundacja Promocji Bezpieczeństwa
ul. Sienna 55, lok. 9
00-820 Warszawa
biuro@fundacjapb.pl <mailto:biuro@fundacjapb.pl>
http://www.fundacjapb.pl
Bardzo zaskoczyło mnie, jak dużo dostałam pytań od podmiotów, które otrzymały to pytanie oraz próby nie udzielenia odpowiedzi, poprzez zasłanianie się ustawą o ochronie danych osobowych. Zatem omówię powyższy przykład
Kto musi udzielić odpowiedzi na pytanie zadane w trybie dostępu do informacji publicznej?
Urzędy nie mają wątpliwości, ale biblioteki lub muzea już zaczynają się zastanawiać, czy muszą odpowiadać. Zgodnie z art. 4 ust. 1 ustawy o d.d.i.p.: Obowiązane do udostępniania informacji publicznej są władze publiczne oraz inne podmioty wykonujące zadania publiczne. Ja to zawsze tłumaczę w ten sposób: każdy kto realizuje swoje zadania za publiczne pieniądze ma obowiązek się z nich rozliczyć i obowiązuje go w związku z tym udzielanie odpowiedzi w trybie dostępu do informacji publicznej.
Czy osoba zadająca pytanie o informację publiczną musi podać swoje pełne dane?
Zgodnie z art. 2 ustawy o d.d.i.p.: 1. Każdemu przysługuje, z zastrzeżeniem art. 5, prawo dostępu do informacji publicznej, zwane dalej „prawem do informacji publicznej”.
2. Od osoby wykonującej prawo do informacji publicznej nie wolno żądać
wykazania interesu prawnego lub faktycznego. Oznacza to, że pytanie o informację publiczną można zadać zupełnie anonimowo.
Czy pytanie o informację publiczną można zadać e-mailem?
A dlaczego nie? Zgodnie z art. 14. 1. ustawy o d.d.i.p: Udostępnianie informacji publicznej na wniosek następuje w sposób i w formie zgodnych z wnioskiem, chyba że środki techniczne, którymi dysponuje podmiot obowiązany do udostępnienia, nie umożliwiają udostępnienia informacji w sposób i w formie określonych we wniosku. Pytanie może być zadane w dowolnej formie, jedynie odpowiedź powinna nastąpić tą samą drogą (a nie odwrotnie, tzn. żądamy, aby było na piśmie).
Czy ustawa o ochronie danych osobowych obowiązuje w odniesieniu do informacji publicznych?
Tak! Jak najbardziej. Wynika to także z samej ustawy o dostępie do informacji publicznej: Art. 5. 1. Prawo do informacji publicznej podlega ograniczeniu w zakresie i na
zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie
innych tajemnic ustawowo chronionych. 2. Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im
prawa. Należy udostępniać informacje publiczne z poszanowaniem prawa do prywatności osób, które dotyczą (np. poprzez anonimizację danych osobowych). Zazwyczaj oznacza to ukrycie tylko części informacji, nie daje natomiast prawa do odmowy udzielenia informacji publicznej.
Odnosząc się do pytań z zacytowanego zapytania:
Komentarz do pytań 1 i 2: Otrzymałam sporo pytań, czy można odmówić odpowiedzi argumentując to ustawą o ochronie danych osobowych. W tym wypadku ustawa nie ma zastosowania, gdyż pytanie dotyczy firm oraz osób prowadzących działalność gospodarczą. Ja udzieliłabym odpowiedzi w pełnym zakresie. Po pierwsze pełne dane tych podmiotów można znaleźć w ogólnodostępnych rejestrach REGON, KRS, czy CEiDG. Po drugie, jeżeli takie prace były zlecone z publicznych pieniędzy, to informacja o ich realizacji, jak najbardziej stanowi informację publiczną w rozumieniu ustawy o d.d.i.p.
A co w przypadku, gdy pytanie dotyczyłoby umów cywilnoprawnych (zleceń i o dzieło)?
W takim wypadku należy pamiętać, że dane tych osób nie są danymi ogólnodostępnymi. Informację publiczną będzie stanowić cała treść umowy, z ograniczeniem danych osobowych do imienia i nazwiska.
Trudno byłoby w tej sytuacji bronić poglądu, że udostępnienie imion i nazwisk osób w rozważanej sytuacji stanowiłoby ograniczenie w zakresie korzystania z konstytucyjnych wolności i praw tych osób (art. 31 ust. 3 i art. 61 ust. 3 Konstytucji RP). W konsekwencji należy zatem przyjąć, że ujawnienie imion i nazwisk osób zawierających umowy cywilnoprawne z jednostką samorządu terytorialnego nie narusza prawa do prywatności tych osób, o którym mowa w art. 5 ust. 2 u.d.i.p. — wyrok SN z dnia 8 listopada 2012 r., I CSK 190/12
Komentarz do pytania 3: informacje o datach powołania/odwołania ABI, jego imię, nazwisko, telefon i e-mail służbowe to informacje publiczne (znajdują się przecież w rejestrze GIODO). Dobrą praktyką jest zamieszczenie ich na stronie internetowej podmiotu.
Komentarz do pytania 4: przyznaję, że nie rozumiem intencji, tzn. dlaczego pytanie dotyczy tego, czy dokumentacja została opracowana w 2015 roku, skoro administrator danych miał taki obowiązek już od 2004 roku (wynika to z przepisów wykonawczych do ustawy o ochronie danych osobowych). Uważam, że należy udzielić odpowiedzi w pełnym zakresie, tzn. nie ograniczać się tylko do okresu po 2015 roku.
Komentarz do pytania 5: zarządzenie stanowi informację publiczną i należy je udostępnić (tylko proszę nie udostępniać listy osób, które się z nim zapoznały!). W zakresie dokumentacji stanowiącej załącznik do zarządzenia, zgodnie z zaleceniami GIODO (http://www.giodo.gov.pl/222/id_art/9906/j/pl) podałabym tylko informacje, które nie zagrażają bezpieczeństwu informacji w podmiocie. Można spokojnie ujawnić spis treści i informacje nie wpływające na bezpieczeństwo informacji (np. zadania ABI, uprawnienia ADO).
Komentarz do pytania 6: Pytanie ma zastosowanie tylko wtedy, gdy został powołany ABI. W przeciwnym wypadku zbiory danych zgłasza się do rejestru prowadzonego przez GIODO. Jeżeli jest ABI, to powinien on prowadzić rejestr zbiorów, które podlegają zgłoszeniu (czyli nie są zwolnione na podstawie art. 43 ust.1 ustawy o ochronie danych osobowych). Rejestr może być prowadzony w formie papierowej, elektronicznej lub mieszanej (zasady prowadzenia rejestru oraz to co powinno się w nim znaleźć określa: Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych). Rejestr zbiorów stanowi informację publiczną.
Komentarz do pytania 7: ma zastosowanie tylko, jeżeli został powołany ABI. Zgodnie z przepisami o ochronie danych osobowych ABI ma obowiązek przygotowywać plany sprawdzeń. Nie muszą to być plany roczne, bo zgodnie z Rozporządzeniem w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI, plan sprawdzeń przygotowuje się na okres minimum 3 miesięcy a maksymalnie na okres 12 miesięcy, przy czym nie musi on zamykać się w rok kalendarzowym.
Komentarz do pytania 8: zbiór danych monitoringu wizyjnego podlega zgłoszeniu do GIODO zgodnie z art. 40 ustawy o ochronie danych osobowych, zgłoszenia dokonuje administrator danych, który nie powołał ABI. Jeżeli został powołany ABI, to zbiór danych powinien znaleźć się w rejestrze zbiorów prowadzonym przez ABI.
Komentarz do pytania 9: jest to informacja publiczna, należy udostępnić. Zwracam uwagę, że pytanie dotyczy daty zgłoszenia zbioru, a nie jego zarejestrowania.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!