O czym należy pamiętać, publikując skany dokumentów w BIP
Publikacja dokumentów urzędowych w Biuletynie Informacji Publicznej (BIP) musi odbywać się z poszanowaniem prawa do ochrony danych osobowych. Dlatego np. z ich skanów powinien zostać usunięty odręczny podpis.
W ostatnim czasie jednostki samorządu terytorialnego pytają Prezesa UODO, czy publikacja w BIP skanu dokumentu zawierającego graficzny (własnoręczny) wzór podpisu osoby pełniącej funkcję publiczną jest działaniem niezbędnym dla zapewnienia jawności i autentyczności dokumentu, czy też stanowi przetwarzanie danych nadmiarowych w stosunku do celu.
Pytania te są dla organu nadzorczego okazją do przypomnienia prezentowanych od wielu lat stanowisk w kwestii stosowania przepisów o ochronie danych osobowych w kontekście przepisów o dostępie do informacji publicznej, które są publikowane zarówno na stronie internetowej Urzędu, jak i w „Biuletynie UODO” czy w rocznych sprawozdaniach z działalności Prezesa UODO.
RODO o godzeniu praw
Zgodnie z art. 86 RODO dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny, w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy ww. rozporządzenia.
Również w motywie 154 RODO podkreślono konieczność pogodzenia tego prawa i ponownego wykorzystywania informacji sektora publicznego. Motyw ten wskazuje, że przepisy prawa krajowego powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych, i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie niniejszego rozporządzenia. Zarówno art. 86 RODO, jak i motyw 154 RODO odsyłają w tym zakresie do przepisów krajowych.
Treść i postać dokumentu urzędowego
Przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (art. 6 ust. 1 pkt 4 lit. a) stanowią, że udostępnieniu podlega informacja publiczna w szczególności o danych publicznych, w tym treść i postać dokumentów urzędowych. Dokumentem urzędowym w rozumieniu ustawy jest treść oświadczenia woli lub wiedzy, utrwalona i podpisana w dowolnej formie przez funkcjonariusza
publicznego w rozumieniu przepisów Kodeksu karnego, w ramach jego kompetencji, skierowana do innego podmiotu lub złożona do akt sprawy (art. 6 ust. 2 ustawy o dostępie do informacji publicznej).
Jak wskazał Naczelny Sąd Administracyjny (NSA) w wyroku z 28 kwietnia 2020 r. (sygn. akt I OSK 1939/19): „Odróżnia się pojęcie samej informacji publicznej od nośnika, na którym została ona utrwa-lona. Informacja jest pewnym komunikatem, wiedzą o jakimś fakcie. Nośnikiem, na którym taka infor-macja jest utrwalona, może być papier lub środki elektroniczne przechowujące dokonane na nich zapisy. Ustawodawca tylko w jednym przypadku, o którym mowa w art. 6 ust. 4 lit. a u.d.i.p., zobowiązał do udostępnienia informacji publicznej zarówno co do treści, jak i postaci, a więc również do udostępnia-nia nośnika, który zawiera informację publiczną. Chodzi tutaj o dokument urzędowy, którego ustawowa definicja zawarta została w art. 6 ust. 2 u.d.i.p. Ponadto przepis art. 3 ust. 1 pkt 2 określa, że prawo do informacji publicznej obejmuje uprawnienie do wglądu jedynie do dokumentów urzędowych”.
Latest
Trzeba podać, kto wytworzył informację i dokument urzędowy
Podmioty udostępniające informacje publiczne w Biuletynie Informacji Publicznej są – stosownie do art. 8 ust. 6 pkt 2 ustawy o dostępie do informacji publicznej – obowiązane do podania w informacji danych określających tożsamość osoby, która wytworzyła informację lub odpowiada za treść informacji. Natomiast wymagania, jakie musi spełnić dokument urzędowy, określa art. 76 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego. Stanowi on, że dokumenty urzędowe sporządzone w przepisanej formie przez powołane do tego organy państwowe w ich zakresie działania stanowią dowód tego, co zostało w nich urzędowo stwierdzone.
Dokument urzędowy sporządzony przez organ działający w ramach swojej właściwości może mieć formę pisemną (postać papierową) opatrzoną podpisem osoby piastującej funkcję organu lub formę elektroniczną opatrzoną kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub kwalifikowaną pieczęcią elektroniczną organu administracji publicznej ze wskazaniem w treści pisma osoby opatrującej pismo pieczęcią. Wobec powyższego przy publikacji w BIP tego dokumentu przekazanie informacji o tym, jaka osoba pełniąca funkcję organu go podpisała, nie narusza zasady minimalizacji danych ustanowionej w art. 5 ust. 1 lit. c RODO.
Do podpisu potrzebna analiza ryzyka
Odrębną sprawą jest dokonanie analizy ryzyka poprzedzającej publikację dokumentów elektronicznych zawierających numer PESEL w kwalifikowanym certyfikacie podpisu elektronicznego, którego rozpow-szechnianie nie znajduje w tym przypadku podstaw prawnych (zwłaszcza w kontekście art. 87 RODO).
Także ze względu na ryzyka związane z kradzieżą tożsamości należy przeanalizować celowość udostępnienia podpisu własnoręcznego widniejącego na skanach dokumentów wytworzonych w tradycyjnej, papierowej formie (własnoręczny podpis może zostać łatwo podrobiony i wykorzystany do różnego rodzaju fałszerstw czy przestępstw, w tym kradzieży tożsamości, przed czym organ ds. ochrony danych osobowych od dawna przestrzega).
Ocena powyższego powinna być związana z przeprowadzeniem testu niezbędności i proporcjonalności (art. 5 RODO) i analizą ryzyka (z art. 24 i 32 RODO).
Prawo do bycia zapomnianym
Biorąc pod uwagę fakt, że publikacja dokumentów urzędowych, w tym zawartych w nich danych osobowych, musi się odbywać z poszanowaniem prawa do ochrony danych osobowych i uwzględniać stosowanie zasad z art. 5 ust. 1 RODO, w tym zasady ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO), podkreślić należy, że dane osobowe zawarte w dokumentach nie mogą być udostępniane w przestrzeni publicznej przez nieograniczony czas.
Biuletyn Informacji Publicznej jest miejscem powszechnego udostępniania informacji. Nie stanowi on jednak zasobu archiwalnego, w którym dokumenty, a w nich dane osobowe, mogą być upubliczniane wieczyście. Okres ich publikacji powinien zostać oszacowany i uzależniony od celów publikacji, tj. nie może być dłuższy, niż jest to niezbędne do celu, w którym są przetwarzane. Ma to szczególne znaczenie w kontekście zasady rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych i musi być w stanie to wykazać (art. 5 ust. 2 RODO).
Jednocześnie – zgodnie z art. 17 RODO – każda osoba fizyczna ma prawo do tego, by „być zapomnianym”, zwłaszcza do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli nie są już one niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
Prawo do „bycia zapomnianym” w kontekście prawa do prywatności i konieczność usuwania danych osobowych z przestrzeni publicznej – jeżeli nie istnieje uzasadniona podstawa do ich dalszego upubliczniania – jest przedmiotem orzecznictwa sądowego. Stanowisko w tej kwestii zajął m.in. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 13 maja 2014 r. C-131/12, Google Spain SL i Google Inc. przeciwko Agencia de Protección de Datos (AEPD) I MARIO COSTEJA GONZÁLEZ.
Opinia IOD
Warto, by w analizowanej sprawie swoją opinię co do legalności przetwarzania danych osobowych przedstawił inspektor ochrony danych (IOD), którego powołanie w podmiotach publicznych (zgodnie z art. 37 ust. 1 lit. a RODO) jest obligatoryjne. Inspektor posiada wiedzę nie tylko z zakresu ochrony danych osobowych, ale przede wszystkim zna specyfikę zadań realizowanych przez administratora.
