Jakie dokumenty i przez jaki okres powinny być publikowane w BIP?

W związku z obowiązkiem udostępniania informacji publicznej prosimy o udzielenie wskazówek, czy na stronie internetowej urzędu powinniśmy zamieszczać: wnioski osób o dostęp do informacji publicznej i odpowiedzi na nie, skargi w rozumieniu działu VIII k.p.a. i odpowiedzi na nie, a także petycje. Czy dane osób fizycznych je składających należy zanonimizować? Jak długo informacje takie powinny być publikowane?

I. W odniesieniu do wątpliwości, czy wnioski o udzielenie informacji publicznej składane w trybie ustawy o dostępie do informacji publicznej (dalej: u.d.i.p.) wraz z udzieloną odpowiedzią muszą być umieszczone na stronie urzędu, wskazać należy, że podmiot zobowiązany do udostępnienia informacji publicznej, rozstrzygając o sposobie udostępnienia określonego zakresu danych w BIP, w pierwszej kolejności powinien ocenić, czy określone informacje mieszczą się w zakresie pojęcia informacji publicznej.

Dokonując oceny, czy określone informacje (np. wnioski o dostęp do informacji publicznej) mieszczą się w zakresie pojęcia informacji publicznej warto zapoznać się z orzecznictwem sądów administracyjnych, zwłaszcza zaś z wyrokami zawierającymi rozstrzygnięcia dotyczące tego, czy dokument prywatny (np. pismo strony wnoszone w sprawie administracyjnej) jest dokumentem urzędowym. Przykładowo w orzeczeniu I OSK 814/16 z dnia 26 stycznia 2018 r. NSA stwierdził: „zgodzić się należy ze stanowiskiem, że przymiot informacji publicznej bez wątpienia posiadają dokumenty urzędowe organu (będące dowodem tego, co w nich urzędowo stwierdzono, zatwierdzono lub podano), wytworzone w ramach realizacji powierzonych mu zadań, a więc dokumenty powstałe w związku z prowadzeniem konkretnych spraw. Natomiast przymiotu informacji publicznej nie mają dokumenty prywatne, które podmiot kieruje do organu administracji publicznej.”

Wobec tego w kontekście przepisów ustawy o dostępie do informacji publicznej inaczej należy traktować pismo strony postępowania (np. wniosek o dostęp do informacji publicznej), a inaczej treść dokumentu urzędowego, w rozumieniu art. 6 ust. 2 tej ustawy.

Jeśli administrator oceni, że określona informacja stanowi informację publiczną, wówczas w następnym kroku powinien ocenić, czy prawo dostępu do takiej informacji nie podlega ograniczeniu, np. z uwagi na prywatność osoby fizycznej. Zgodnie z art. 5 ust. 2 u.d.i.p. prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy jednak informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. A zatem przepisy ustawy o dostępie do informacji publicznej wskazują na sytuacje oraz kategorie informacji, które mogą bądź muszą być wyłączone z udostępnienia.

Odnosząc się natomiast do kwestii obowiązku publikacji określonych informacji wskazać należy, że jedną z form udostępnienia informacji publicznej jest ogłaszanie informacji publicznej, w tym dokumentów urzędowych, w Biuletynie Informacji Publicznej (BIP), o którym mowa w art. 8 ust. 1 u.d.i.p. Katalog informacji podlegających obowiązkowemu udostępnieniu w BIP wskazany został w art. 8 ust. 3 tej ustawy. Niemniej organy władzy publicznej, do których zaliczają się również organy gminy, mogą udostępniać w Biuletynie także inne informacje publiczne, jak np. zarządzenia burmistrza (art. 8 ust. 3 zdanie drugie).

Ponadto prawo do informacji publicznej wynika również z art. 11b ustawy o samorządzie gminnym, który przewiduje jawność działalności organów gminy. Ograniczenia tej jawności mogą wynikać wyłącznie z ustaw (ust. 1). Zgodnie z tym przepisem jawność działania organów gminy obejmuje w szczególności prawo obywateli do uzyskiwania informacji, wstępu na sesje rady gminy i posiedzenia jej komisji, a także dostępu do dokumentów wynikających z wykonywania zadań publicznych, w tym protokołów posiedzeń organów gminy i komisji rady gminy (ust. 2). Zasady dostępu do dokumentów i korzystania z nich określa statut gminy (ust. 3). Jeżeli zatem w statucie gminy przewidziano obowiązek zamieszczania określonych informacji publicznych w BIP (np. zarządzeń burmistrza), to wtedy informacje te podlegają obligatoryjnemu zamieszczeniu na stronie BIP urzędu danej gminy.

Opublikowanie przez urząd określonych informacji powinno być zatem poprzedzone staranną oceną, czy i w jakim zakresie należy je udostępnić.

II. Odnosząc się natomiast do kwestii okresu publikacji danych w BIP wskazać należy, że przepisy ustawy o dostępie do informacji publicznej, a także przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 18 stycznia 2007 r. w sprawie Biuletynu Informacji Publicznej nie precyzują okresu udostępniania informacji w BIP, zarówno minimalnego, jak i maksymalnego. Brak określonych przepisami prawa okresów przetwarzania (udostępniania) informacji zawierających dane osobowe, nie oznacza, że informacje takie można przetwarzać bezterminowo.

Do takich informacji zastosowanie bowiem znajduje zasada ograniczonego przechowywania, wynikającą z art. 5 ust. 1 lit. e RODO. Administrator powinien w tym zakresie kierować się przepisami, z których wynika czas, przez jaki może przetwarzać dane osobowe, a w przypadkach, w których prawo nie reguluje okresu retencji danych, po przeprowadzeniu analiz, określić ten okres tak, aby przetwarzanie danych było zgodne z celami, w których je pozyskano. Stanowisko takie zaprezentowane zostało także w uzasadnieniu wyroku Wojewódzkiego Sądu Administracyjnego w Lublinie z dnia 1 marca 2016 r., sygn. akt II SA/Lu 876/15: „[z] art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych wynika zasada ograniczenia czasowego udostępnienia danych osobowych w Biuletynie Informacji Publicznej. Zasada ta oznacza, że nawet jeśli określone dane odpowiadają celowi, dla którego są zbierane, to nie powinny być przetwarzane, w tym udostępniane innym podmiotom ad finitum. Czasowym wyznacznikiem powinno być natomiast osiągnięcie celu przetwarzania.” Podkreślić należy, iż ww. wyrok zachowuje aktualność także przy obecnie obowiązujących przepisach o ochronie danych osobowych.

Podobnie wypowiedział się WSA w Warszawie w wyroku z dnia 29 stycznia 2020 r. (sygn. akt II SA/Wa 1810/19), wskazując, że brak regulacji nie oznacza, że dane mogą być publikowane bezterminowo. W takiej sytuacji znajduje bowiem zastosowania art. 5 ust. 1 lit. e RODO, co w konsekwencji nakłada obowiązek dokonania samodzielnej oceny okresu niezbędnego do osiągnięcia celu przetwarzania oraz zakreślenia precyzyjnego terminu usunięcia danych osobowych z BIP.

W decyzji z 18 października 2019 r. Prezes UODO wskazał, iż w celu zapewnienia przetwarzania danych zgodnie z zasadą ograniczonego przechowywania, administrator powinien stworzyć procedury, z których będzie wynikał termin i sposób usuwania informacji zawierających dane osobowe oraz zasady dokonywania przeglądów przetwarzanych danych w celu weryfikacji, czy określone w ten sposób terminy usuwania danych osobowych są przestrzegane.

Innymi słowy, jeżeli w tym zakresie brak jest określonych przepisami terminów, wzorów postępowania, to administrator musi przyjąć konkretne rozwiązania, które potrafi uzasadnić. Wynika to z przyjętej w art. 5 ust. 2 RODO zasady rozliczalności, zgodnie z którą administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych wymienionych w art. 5 ust. 1 RODO i musi być w stanie to wykazać. Zasada rozliczalności wymaga też, aby administratorzy wykazywali logikę, na której opierają swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania.

Pomocne informacje dotyczące tego zagadnienia znaleźć można również w odpowiedziach na znajdujące się w zakładce IOD pytania: Czy trzeba precyzyjnie określać okres przechowywania danych?, Jak długo powinny być udostępniane w BIP oświadczenia majątkowe, np. radnego, wójta?

III. Wskazane powyżej informacje mogą być pomocne również w rozstrzygnięciu wątpliwości dotyczących skarg i wniosków w rozumieniu działu VIII k.p.a. Warto przy tym nadmienić, że problemem zamieszczania na stronie podmiotowej BIP danych osobowych wnoszącego taką skargę zajął się m.in. Naczelny Sąd Administracyjny w wyroku z 14 marca 2013 r. (I OSK 620/12). NSA stwierdził w nim, że „jeżeli celem zamieszczenia informacji publicznej w BIP-ie jest transparentność działalności publicznej Rady Gminy, w tym treść podejmowanych przez nią uchwał, to cel ten zostaje spełniony także wówczas, gdy chroniąc sferę prywatności z informacji usunięte zostaną dane dot. osób prywatnych.”

IV. Jeśli natomiast chodzi o petycje, to przy określaniu okresu przechowywania zastosowanie znajdą powyższe wskazówki. Nieco inaczej sytuacja wygląda natomiast w zakresie publikacji petycji i danych osobowych osób je wnoszących.

Zgodnie bowiem z art. 4 ust. 3 ustawy o petycjach, petycja może zawierać zgodę na ujawnienie na stronie internetowej podmiotu rozpatrującego petycję lub urzędu go obsługującego danych osobowych podmiotu wnoszącego petycję lub podmiotu, o którym mowa w art. 5 ust. 1 tej ustawy.

Zgodnie z art. 8 ust. 1 ww. ustawy, na stronie internetowej podmiotu rozpatrującego petycję lub urzędu go obsługującego niezwłocznie zamieszcza się informację zawierającą odwzorowanie cyfrowe (skan) petycji, datę jej złożenia oraz - w przypadku wyrażenia zgody, o której mowa w art. 4 ust. 3 - imię i nazwisko albo nazwę podmiotu wnoszącego petycję lub podmiotu, w interesie którego petycja jest składana.

Z treści powyższych przepisów wynika, że rozpatrujący petycję ma obowiązek zamieszczenia na swojej stronie internetowej informacji zawierającej odwzorowanie cyfrowe petycji, przy czym jeśli składający petycje wyrazi zgodę na ujawnienie jego imienia i nazwiska lub nazwy podmiotu, wówczas publikowana informacja o petycji może zawierać również te dane. Jeśli natomiast składający petycje nie udzieli takiej zgody, wówczas adresat petycji nie może ujawnić jego danych, nie może też żądać wyrażenia takiej zgody.

Ponadto wskazać należy, że podstawą prawną do ujawnienia danych osobowych osoby składającej petycję na stronie internetowej organu rozpatrującego będzie zgoda w rozumieniu przepisów o ochronie danych osobowych. Skoro tak, to należy mieć na uwadze wymagania dotyczące zgody wskazane w RODO (art. 4 pkt 11 oraz art. 7-8).

Więcej informacji na temat ww. przesłanki przetwarzania znaleźć można na stronie internetowej UODO, w tym m.in. w materiale poniżej: 

Zgoda nie zawsze jest podstawą przetwarzania danych

Zgoda może być podstawą przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące. Gdy jednak zgoda ma zastosowanie, to musi spełniać określone warunki, by rzeczywiście była podstawą przetwarzania.

Wiele osób jest przekonanych, że jeśli nie wyraziło zgody na przetwarzanie swoich danych osobowych, to nie można tego robić. W praktyce jednak zgoda może być podstawą do przetwarzania naszych danych, gdy nie występują inne przesłanki legalizujące, które są określone w art. 6 ust. 1 RODO.

Przepis ten, oprócz zgody, określa, że nasze dane mogą być przetwarzane, gdy jest to niezbędne do wykonania umowy, do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Nasze dane mogą być przetwarzane także wtedy, gdy jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo administrator musi zrealizować cel wynikający z prawnie uzasadnionych interesów.

Dopiero gdy nie mają zastosowania powyższe przesłanki, to podstawą do przetwarzania danych osobowych może być zgoda. Należy jednak pamiętać, że niedopuszczalne jest odbieranie zgody na przetwarzanie naszych danych osobowych w przypadku istnienia innej przesłanki legalizacyjnej upoważniającej administratora do przetwarzania danych osobowych w tym samym zakresie i celu. Takie działanie wprowadza w błąd osobę, która udziela zgody. Jest bowiem przekonana, że to na tej podstawie przetwarzane są jej dane i gdy ja wycofa, to administrator zaprzestanie dalszego przetwarzania. Tymczasem administrator może mieć wręcz obowiązek przetwarzania naszych danych, gdy mają zastosowania przedstawione powyżej przesłanki. Pozyskiwanie zgody w tej sytuacji może więc prowadzić do naruszenia zasady przejrzystości i rzetelności, o których mowa w art. 5 ust. 1 lit a RODO.

Warunki wyrażenia zgody

Zgoda, by mogła być podstawą przetwarzania danych, musi spełniać odpowiednie wymagania. W przeciwnym razie może zostać zakwestionowana jako podstawa do przetwarzania danych osobowych.

Pojęcie zgody osoby, której dotyczą dane, definiuje art. 4 pkt 11 RODO i oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Zgoda udzielona przed rozpoczęciem przetwarzania danych osobowych powinna być: wyrażona wprost, określać osobę, która zgody udziela oraz  której dane osobowe mają być udostępnione. Osoby te muszą wiedzieć, komu udzielają zgody na przetwarzanie danych, jaki jest ich zakres. Powinny też wiedzieć, przez jaki okres i w jakim celu dane te będą przetwarzane.

Administrator ma obowiązek zadbać o to, by jego działania były zgodne z zasadami przetwarzania danych osobowych, zwłaszcza z art. 5 oraz art. 7 RODO. Powinien ocenić, jakie ryzyka dla praw osób, mogą wiązać się z przetwarzaniem ich danych osobowych w konkretnym celu. Musi również przygotować jasne i rzetelne klauzule informacyjne.

Wymuszenie zgody

Należy pamiętać, że nikt nie ma prawa wymuszać na nikim wyrażenia zgody. Taka zgoda jest nieważna. Warto pamiętać, że z wymuszeniem zgody spotykamy się, gdy klauzula o wyrażeniu zgody znajduje się pomiędzy wieloma innymi punktami umowy. Przykładowo, klauzula o zgodzie na otrzymywanie informacji handlowych nie może znaleźć się we wzorcu wniosku o udzielenie pożyczki pomiędzy innymi postanowieniami oraz formularzem określającym m.in. dane osobowe kredytobiorcy. W tak skonstruowanym dokumencie konsument nie ma możliwości odmowy wyrażenia zgody, ponieważ składa podpis pod całością wniosku, przez co jego zgoda nie jest swobodna i niezależna od innych oświadczeń woli (art. 4 ustawy o świadczeniu usług drogą elektroniczną).

Z wymuszeniem zgody mamy również do czynienia, gdy instytucja publiczna lub niepubliczna realizująca zadanie publiczne uzależnia jego realizację od zgody, pomimo że z przepisów wynika uprawnienie lub obowiązek przetwarzania danych dla tych celów. Przykładowo: podczas rejestracji samochodu w urzędzie, urząd ten nie może żądać od nas wyrażenia zgody i uzależnić od niej wydanie decyzji o rejestracji pojazdu, bo z przepisów wynika obowiązek przetwarzania danych dla tego celu.

Wycofanie zgody

W myśl art. 7 ust. 3 RODO zgoda jest odwoływalna i uprawnienie to przysługuje osobie, której dane dotyczą, w każdym czasie. Osoba ta ma więc prawo w dowolnym momencie wycofać zgodę. Przepis nakłada na administratora obowiązek poinformowania osoby o tym prawie, zanim wyrazi zgodę. Wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. Dlatego jeżeli np. na stronie internetowej istniał mechanizm do wyrażenia zgody, to powinien być również podobny do jej wycofania. Rozwiązanie takie nie powinno być w żaden sposób ukryte. Podobnie gdy administrator odbierał zgodę drogą mailową czy telefoniczną, to w tym wypadku jej odwołanie powinno być możliwe w ten sam sposób.

Uprawnienie osoby do rzeczywistego wycofania zgody łączy się z wymogiem dobrowolności zgody.

Zgoda na kontakt marketingowy

Szczególną czujnością kierujmy się, gdy mamy do czynienia z działaniami marketingowymi. O ile zgoda na marketing bezpośredni nie jest wymagana, o tyle sytuacja się zmienia, gdy taka forma komunikacji jest realizowana telefonicznie.

Prawo telekomunikacyjne w art. 172 zakazuje wykonywania połączeń do celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na nie zgodę.

Ustawienia domyślne

Pamiętajmy również o tym, że wszelkie modele wykorzystujące bierność, milczenie osoby, której dane dotyczą, lub jej nieuwagę, a także ustawienia domyślne, domyślnie zaznaczone okienka zgód itp., są niedopuszczalne. Wskazał na to m.in. Europejski Trybunał Sprawiedliwości w wyroku z 1 października 2019 r. (sygn. akt. C-673/17).

Grupa Robocza Art. 29 w Wytycznych dotyczących zgody na mocy rozporządzenia 2016/679 wskazała, że osoba wyrażająca zgodę musi podjąć celowe działanie, aby wyrazić zgodę na określone przetwarzanie jej danych.

To my sami mamy decydować o tym na co się zgadzamy i świadomie to zaznaczać. Tymczasem domyślnie zaznaczone okienka możemy przez nieuwagę i pośpiech pominąć.

Przetwarzanie danych niezgodnie z prawem

Każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). Jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania (art. 82 RODO).

Możliwość skorzystania z powyższych praw w przypadku zgody może mieć miejsce, gdy np. wycofujemy zgodę, a administrator to utrudnia albo nie respektuje naszego żądania i w dalszym ciągu przetwarza nasze dane, a nie ma innej przesłanki legalizującej takie działanie. Również, gdy kwestionujemy dobrowolność wyrażonej zgody, to możemy skorzystać z przysługujących nam praw.