Art. 86 RODO stanowi, iż dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych. W Polsce takim prawem jest ustawa o dostępie do informacji publicznej (u.d.i.p.), która zakłada, iż udostępnieniu podlega informacja publiczne, w tym dane publiczne, w tym treść i postać dokumentów urzędowych, w szczególności dokumentacja przebiegu i efektów kontroli oraz wystąpienia, stanowiska, wnioski i opinie podmiotów ją przeprowadzających (art. 6 ust. 1 pkt 3 tiret drugi u.d.i.p.). Zgodnie z art. 8 ust. 2 u.d.i.p. informacje publiczne podlegają udostępnieniu w BIP przez podmiotu o których mowa w art. 4 ust. 1 i 2 ustawy.
Zgodnie z art. 5 ust. 2 u.d.i.p. prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa.
Orzecznictwo wyjaśniając kim jest „osoba pełniąca funkcję publiczną” wskazuje, iż „cechą wyróżniającą osobę pełniącą funkcję publiczną jest posiadanie przez nią określonego zakresu uprawnień pozwalających na kształtowanie treści wykonywanych zadań w sferze publicznej. Osobą pełniącą funkcję publiczną i mającą związek z jej pełnieniem będzie każdy, kto pełni funkcję w organach władzy publicznej bądź w strukturach jakichkolwiek osób prawnych i jednostek organizacyjnych nie mających osobowości prawnej, jeżeli funkcja ta obejmuje uprawnienie do dysponowania majątkiem publicznym, zarządzaniem sprawami związanymi z wykonywaniem swych zadań przez władze publiczne, albo inne podmioty, które tę władzę realizują lub gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa.”[1]. Oznacza to, że „wskazanie, czy mamy do czynienia z funkcją publiczną, powinno odnosić się do badania, czy określona osoba w ramach instytucji publicznej realizuje w pewnym zakresie nałożone na tę instytucję zadanie publiczne. Chodzi zatem o podmioty, którym przysługuje co najmniej wąski zakres kompetencji decyzyjnej w ramach instytucji publicznej.”[2].
Wobec tego należy przyjąć, że przed opublikowaniem protokołu z kontroli w BIP administrator danych osobowych powinien zawsze zanonimizować dokumenty w zakresie danych osobowych osób, które nie mają uprawnień wskazanych wyżej – np. pracownika wytwarzającego pismo. Z kolei dane o osobach decyzyjnych – kierownika jednostki, kierownika działu czy pracownika odpowiedzialnego za kontrolowany zakres, a również dane samego kontrolera czy inspektora (np. Najwyższej Izby Kontroli lub Państwowej Inspekcji Pracy) już opublikowaniu podlegają.
Ostateczna decyzja co do zakresu anonimizowanych danych osobowych w publikowanej dokumentacji pokontrolnej leży w gestii administratora danych. Musi on kierować się zasadami wynikającymi z RODO, tzn. przede wszystkim zasadą minimalizacji danych, która zakłada, że dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Podstawa prawna:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
– Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (t.j. Dz. U. z 2022 r. poz. 902).
[1] Wyrok WSA w Warszawie z 30.06.2022 r., II SA/Wa 4102/21, LEX nr 3369747.
[2] Wyrok WSA w Szczecinie z 4.08.2016 r., II SA/Sz 592/16, LEX nr 2098553.