Jawność w JST a ochrona danych osobowych – co trzeba udostępnić?

Jesteś zainteresowany stanem ochrony danych osobowych w Twojej gminie? Chcesz wiedzieć, kto jest inspektorem ochrony danych osobowych, jakie są stosowane zabezpieczenia i środki organizacyjne? Składasz więc wniosek o udostępnienie informacji publicznej, ale czy wszystko powinno zostać Ci udostępnione?

Informacja publiczna

Kwestie informacji publicznej zostały uregulowane w ustawie, w której wskazuje się, że to właśnie władze publiczne i inne podmioty wykonujące zadania publiczne zobowiązane są do udostępniania informacji publicznych. Każdy może zgłosić się z takim wnioskiem (w formie papierowej lub elektronicznej) i nie musi wykazywać swojego interesu prawnego lub faktycznego.

Dla Gmin wnioski o udostępnienie informacji publicznej są wyzwaniem. Niekiedy wpływają one niezmiernie często, a co do zasady należy na nie odpowiedzieć w ciągu 14 dni od dnia złożenia wniosku.

Co możemy a czego nie?

Od początku obowiązywania RODO interesanci nierzadko pytają o umowy z inspektorem ochrony danych osobowych czy dokumenty jak np. Polityka ochrony danych osobowych, Rejestr czynności przetwarzania.

W związku z koniecznością ujawnienia informacji o majątku publicznym, w tym wydatkach, gminy powinny podać do wiadomości na wniosek informację o wynagrodzeniu inspektora ochrony danych osobowych. Mogą również udostępnić umowę zawartą z inspektorem, lecz wcześniej należy dokonać prawidłowej anonimizacji danych osobowych osób, które nie są stronami umowy.

Inaczej sytuacja wygląda co do dokumentacji. Zgodnie z wyrokiem WSA w Łodzi z 12.02.2019 r. (II SAB/Łd 181/18) Rejestry czynności przetwarzania i Polityka ochrony danych stanowią dokumentację wewnętrzną wspomagającą pracę administratora i inspektora ochrony danych w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia oraz gwarantowało realizację zasady rozliczalności przed organem nadzoru. Tym samym z uwagi na fakt, że ta dokumentacja zawiera ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, nie podlega ona ujawnianiu i powszechnemu dostępowi.

Powyższy pogląd był już wcześniej głoszony przez Generalnego Inspektora Danych Osobowych, który na stronie internetowej w zakładce: "Wskazówki dla administratora danych", wskazywał, że polityka bezpieczeństwa to dokument wewnętrzny, który powinien być udostępniany jedynie ograniczonemu kręgowi osób (https://giodo.gov.pl/pl/222/9906).

Jak udostępniać, żeby nie narazić się sankcje?

Przede wszystkim należy właściwie przeanalizować wniosek i żądane dane bądź dokumenty. Dopiero wtedy można zadecydować, czy zachodzą ograniczenia ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenia te jednak nie są stosowane wobec osób pełniących funkcje publiczne lub takich, które zrzekły się tego prawa.

Nie można również bagatelizować wniosków, które wysyłane są mailowo – na nie także trzeba odpowiadać. Co więcej, nawet wnioski anonimowe powinny być rozpatrzone, dlatego tak ważne jest ciągłe monitorowanie wpływających pism i przestrzeganie ustawowych terminów odpowiedzi.

Dagmara Jabłońska

Kancelaria Wyrzykowscy sp. z o.o.