Dane skarżącego na sesji
Naruszenie, które wpisuje się stale w samorządzie to ujawnianie danych skarżącego na sesji rady. Pisał o tym wielokrotnie, już GIODO. Radni jednakże cały czas przetwarzają wskazane dane osobowe na sesji. W tym roku zdarzało się czytanie skargi w całości (in extenso) wraz z danymi osobowymi skarżącego.
Ciekawym aspektem, sprawy opisywanej w tym roku, jest fakt, że dane osobowe skarżącej zostały udostępnione w związku z publikacją informacji o sesji rady miejskiej oraz uchwale rady miejskiej.
Prezes UODO wskazał, że było to działanie nadmierne: nie było niezbędne ujawnienie na stronie internetowej BIP imienia i nazwiska osoby wnoszącej skargę na Burmistrza. Nie było również niezbędne upublicznienie na stronie internetowej Urzędu Miasta danych osobowych Skarżącej zawartych w informacji o zwołaniu sesji rady miejskiej. Przy upublicznieniu w celu informacyjnym informacji o zwołaniu sesji rady miejskiej oraz o podjętej uchwale w związku z wniesioną skargą, zbędne było (nieadekwatne do celu) ujawnianie imienia i nazwiska Skarżącej.
Prezes UODO przypomniał, że dokumenty należy anonimizować i jest to przejaw zasady minimalizacji, o której wskazuje art. 5 ust. 1 lit. c RODO.
Na uwagę zasługuje jednakże stwierdzenie Prezesa UODO „Z ustaleń postępowania nie wynikało również, aby Skarżąca składając skargę na Burmistrza, pełniła funkcję publiczną lub zrezygnowała z prawa do prywatności, wobec tego nie można było zastosować zwolnienia z ograniczenia prawa do informacji publicznej wynikającego z art. 5 ust. 2 ustawy o dostępie do informacji publicznej”. O ile autor zgadza się, że każdy posiada prawo do zrezygnowania z prawa do prywatności, to pewne zdziwienie budzi fakt, że „nie pełniła funkcji publicznej”. Zapewne w tym stanie faktycznym nie miało to znaczenia ale w ogóle nie powinno to mieć znaczenia. Jest to pewna różnica pomiędzy Prezesem UODO a WSA. Sądy wskazują, że złożenie skargi nie jest w związku z pełnieniem funkcji publicznej. Jest to prawo konstytucyjne, doprecyzowane w dziale VIII KPA, który nie różnicuje, czy składający skargę pełni funkcję publiczną czy nie.
W tym aspekcie należy wskazać znaczący przypadek orzeczenia WSA w Warszawie II SA/Wa 178/21, Legalis z 13.9.2021 r. Sąd wyraźnie wskazał w nim, że „Prezes UODO w uzasadnieniu zaskarżonej decyzji powinien bowiem dokonać oceny, czy zdarzenia opisywane przez Skarżącą w ww. skargach na Dyrektora Szkoły, miały związek z wykonywaniem obowiązków służbowych, czy też z pracą dydaktyczną i pedagogiczną (art. 69 ust. 1 oraz art. 70 PrOśw), czy też mogły być uznane za kwestie pracownicze, które korzystały z ochrony prawnej”. W pewnym uproszczeniu można wskazać, że nie zawsze występuje się jako osoba pełniąca funkcje publiczne oraz nie zawsze jest to w związku z pełnieniem funkcji publicznych. W opinii autora Prezes UODO powinien uwypuklać zwrot „w związku z pełnieniem funkcji publicznych” a nie sam status funkcjonariusza. Opisywana sprawa nie jest odosobniona. Już wcześniej WSA wskazywał na adekwatny związek z pełnieniem funkcji publicznych jako element obowiązkowy. Tytułem przykładu w wyroku WSA w Warszawie z 4.2.2020 r. II SA/Wa 2096/19, Legalis wskazał, że „nie można wyłączyć a priori ochrony prywatności osób pełniących funkcje publiczne. Podstawowym problemem jest określenie związku między życiem prywatnym takiej osoby, a jej działalnością publiczną. Informacje dotyczące życia prywatnego osoby pełniącej funkcję publiczną powinna się wiązać z funkcjonowaniem instytucji, w szczególności w sposób mogący mieć znaczenie dla ukształtowania się poglądu o sposobie jej funkcjonowania”. Dla Prezesa UODO cały czas ważniejsze jest pełnienie funkcji publicznych, dla sądów administracyjnych, adekwatny związek z pełnieniem tejże funkcji publicznej.
Wygaśnięcie mandatu radnego
Stan faktyczny w opisywanej sprawie przedstawiał się następująco: „w związku z podejmowaniem uchwały w sprawie wygaśnięcia mandatu Skarżącego (będącego radnym) – danych osobowych Skarżącego, zawartych w akcie notarialnym sprzedaży nieruchomości oraz w oświadczeniu Skarżącego zawierającym zgodę na wykonanie prac budowlanych na tej działce”. W trakcie sesji Burmistrz pokazał prezentację, na której sporą ilość dokumentów zanonimizowano pozostawiono tylko imię i nazwisko, adres zamieszkania oraz numer działki ewidencyjnej do niego należącej. W opinii Burmistrza wskazane środki dowodowe były niezbędne dla udowodnienia twierdzenia. Uchwała oraz zagadnienia dotyczyły pozbawienia mandatu radnego art. 24f ust. 1 SamGminU, art. 383 § 1 pkt 5 ustawy Kodeks wyborczy. Zarówno Prezes UODO w swojej decyzji oraz WSA w orzeczeniu (II SA/Wa 685/21, Legalis) uznały, że istniała właściwa podstawa przetwarzania, a więc, że nie doszło do naruszania danych osobowych.
Autor zgadza się z powyższym. Poza wszystkim radny jest „osobą pełniącą funkcję publiczną” a jego działalność znalazła się w „związku z pełnieniem funkcji publicznym”. Omówić zagadnienie na sesji trzeba było tym bardziej szczegółowo, że ingerencja w skład osobowy rady powinna być nadzwyczajnym wyjątkiem. Radni zostali wybrani na kadencje i powinni realizować swoje zadania przez pełen jej okres. Ingerencja więc w skład rady powinna być przeprowadzana ostrożnie, ekstraordynaryjnie a dowodzenie naruszenie ustawowego zakazu, które posiada tak brzemienne skutki musi być rzeczowo udokumentowane. Ze względu na fakt, że jest to zagadnienie stricte polityczne, wyborcy, mają prawo do rzetelnej informacji, który zakaz, w jaki dokładnie sposób został naruszony.
Zamieszczenie na BIP zaleceń pokontrolnych
Autor spotkał się z sytuacją gdy na stronie BIP jeden samorządów zamieścił raport pokontrolny wraz z danymi PESEL pracowników. Po stwierdzeniu naruszenia, powyższe zostało bezzwłocznie usunięte ze strony.
Opisywany przypadek przez Prezesa UODO wykazuje natomiast sytuację, że również świadomość wśród przedsiębiorców cały czas rośnie. Prezes wskazał na sytuację, gdy w związku z publikacją zaleceń pokontrolnych wydanych po przeprowadzonej kontroli w żłobku przez Wydział Zdrowia i Spraw Społecznych Urzędu Miasta zamieszczono – firmę przedsiębiorcy jednoosobowego (imię i nazwisko oraz nazwę) oraz nazwę kontrolowanej placówki. Co istotne od przeprowadzenia kontroli do wydania decyzji minęło sporo czasu.
Prezes UODO wskazał na przepisy ustawy o dostępie do informacji publicznej, a więc: art. 3 ust. 1 prawo do informacji publicznej obejmuje uprawnienia do uzyskania informacji publicznej, w tym uzyskania informacji przetworzonej w takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego (pkt 1), wglądu do dokumentów urzędowych (pkt 2), dostępu do posiedzeń kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów (pkt 3).
Prezes UODO uznał więc, że istniała podstawa prawna udostępnienia danych osobowych, a więc ziściła się przesłanka art. 6 ust 1 lit. c) RODO. Nie można więc mówić, że działanie to było bezprawne.
Przedmiotowy dokument, podsumowującą działalność jednostki i podmiotów obsługujących oczywiście stanowi informację publiczną, każdy więc posiada do niego uprawnienia dostępu. Przez pewien okres, takie dokumenty powinny być dostępne w sposób bezwniowskowy, a więc poprzez zamieszczenie na BIP lub stronie podmiotowej jednostki.
W sprawie tej Prezes UODO w zasadzie powtórzył tezy dookreślone w decyzji dot. Aleksandrowa Kujawskiego. Jeden z jego wniosków wskazywał, że gdy nie ma określonych maksymalnych terminów na udostępnienie w przepisie, to rolą administratora jest samodzielne dookreślenie takiego terminu. Określone podejście ma swoją niezaprzeczalną zaletę, w pewnym momencie dokumenty, które przestają być potrzebne społecznie są usuwane ze strony, oczywiście dalej przysługują każdemu, ale dopiero w trybie wnioskowym. Wada jest jedna i następująca, jeśli powyższe jest prerogatywą każdego z administratorów, to będą odmiennie wskazywać terminy. Może się to wiązać z pewną dowolnością, ale Prezes UODO dopuszcza taką sytuację. Organ nadzorczy podnosi to w swoim sprawozdaniu do „zasady ograniczenia czasowego udostępnienia danych osobowych w BIP” jako pochodzącą od zasady ograniczenia przechowywania, określoną w art. 5 ust. lit. e RODO.
Na aspekt czasowy zwrócił ponadto uwagę WSA, który zauważył dawność przeprowadzenia kontroli. W związku z czym, fakt, że dane były zamieszczone cały czas – zostało uznane za naruszenie (DS.523.3685.2020). Powyższe prowadzi do następujących wniosków:
- Co do zasady przedsiębiorcy podpisujący umowy z administracją publiczną muszą liczyć się z większą jawnością.
- W niektórych sytuacjach ich firma może pojawiać się również w negatywnym aspekcie.
- Administrator musi zadecydować jak długo informacja znajdzie się na BIPie.
- Gdy cel się ziści lub zdezaktualizuje należy usunąć wskazaną informację.
Wnioski te organ nadzorczy dalej rozwija w kolejnej skardze dotyczącej retencji danych w BIP. W tym zakresie jest konsekwentny i przypomina na konieczność opracowania i wdrożenia procedur dotyczących publikowania dokumentów. W kolejnej skardze omawia zagadnienie jak długo dane powinny być zamieszczone na stronie starostwa w treści uchwały i dochodzi do wniosku, że powinno to wynosić dwa lata. Swoje sformułowanie kończy stwierdzeniem, że „każda informacja zamieszczana w BIP powinna być analizowana przez administratora pod kątem jej aktualności i celowości dalszej publikacji”.
Rada jednak administratorem
Warto zwrócić uwagę na ostatni wniosek. Organ wskazywał, że na transmitowanych sesjach na portalu Youtube rozpatrywano skargę, w trakcie radna zaczęło to komentować, wskazując dane osobowe skarżącego, w ten sposób, że możliwa była identyfikacja. Prezes uznał, że nie wystąpiły żadne, podstawy przetwarzania i ukarał administratora. Uwypuklenia wymaga fragment, że „Prezes UODO w wydanej w tej sprawie decyzji udzielił Radzie upomnienia w związku z naruszeniem zasady legalności (art. 5 ust. 1 lit. a RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO)”. Dalej w sprawozdaniu w podobnej sprawie Prezes UODO, a więc dotyczącej rozpatrywania skargi na sesji, wskazał podobnie: „Ustalono, że dane osobowe Skarżących były przez Radę przetwarzane w związku z rozpatrywaniem skargi złożonej na Burmistrza i w tym zakresie to Rada była administratorem”. W tej sprawie burmistrz „przyznał, że nie opracował jednak wewnętrznych uregulowań określających szczegółowe zasady tej transmisji. Biorąc pod uwagę powyższe ustalenia, obowiązujące przepisy, incydentalny charakter naruszenia oraz fakt, że udostępnione w sieci nagranie sesji Rady zostało zanonimizowane, Prezes UODO wydał decyzję udzielającą upomnienia”.
Uznanie Rady za administratora cały czas jest nowością po raz pierwszy zostało zakomunikowane przez organ w 2021 r. w informacji „Czy w jedn. organizacyjnych samorządu terytorialnego funkcjonuje kilku odrębnych administratorów?” Obecnie jak widać na rady jako administratorów nakładane są kary.
Autor nie jest zwolennikiem takiego rozwiązania – widzi tu sporo problemów praktycznych – związanych ze statusem administratora, chociażby przyjęcie polityki oraz realizację praw podmiotowych, biorąc pod uwagę niezwykle ograniczone kompetencje przewodniczącego limitowane przez art. 19 ust 2 SamGminU „zadaniem przewodniczącego jest wyłącznie organizowanie pracy rady oraz prowadzenie obrad rady”. Budzi to wątpliwości. Na pewno można też wskazać, że rada oraz Wójt nie stanowią współadministratorów.