Lepsze i gorsze dane osobowe

pixabay.com

Ochrona prywatności to jedna z najczęstszych przesłanek stosowanych przez organy w celu ograniczenia prawa do informacji. Okazuje się, że stojąc na straży prywatności jednych podmiotów, zapominają one o prywatności wnioskodawców.

Taki wniosek płynie ze zgłoszeń klientów poradni Sieci Obywatelskiej Watchdog Polska. Jeden z nich, nazwijmy go panem Adamem, zwrócił się do jednego z organów lokalnych o udostępnienie informacji publicznej w postaci wyników kontroli nadzorowanego przez ten organ stowarzyszenia, z którym pan Adam współpracował jako wolontariusz.

Po kilku dniach wnioskodawca otrzymał w związku ze swoim wnioskiem informację… tyle, że jej nadawcą był nie organ, a stowarzyszenie. Zarząd stowarzyszenia poinformował naszego klienta, że zawiesza tymczasowo współpracę z nim w związku z wnioskiem, który skierował do urzędu. O wniosku stowarzyszenie dowiedziało się od organu. Co więcej, urząd chciał wiedzieć, czy Zarząd stowarzyszenia pozwolił panu Adamowi uzyskać informacje na jego temat, mimo że wniosek składał we własnym imieniu, korzystając ze swojego prawa do informacji.

Ta sprawa jest szczególna, ponieważ ujawnienie danych wnioskodawcy spowodowało negatywne dla niego konsekwencje, choć korzystał przecież ze swojego konstytucyjnego prawa.

Co robić w takich sytuacjach?

Doradziliśmy naszemu klientowi skierowanie skargi do Prezesa Urzędu Ochrony Danych Osobowych. W sprawie niewątpliwie doszło bowiem do naruszenia ochrony danych osobowych.

Zasugerowaliśmy też, aby wcześniej skorzystał z przysługującego mu prawa dostępu do swoich danych (Art. 15 ust. 1 RODO).[1] Administrator danych – w tym przypadku urząd, do którego skierowano wniosek – powinien niezwłocznie udzielić informacji, czy przetwarza nasze dane osobowe. Jeżeli je przetwarza, to zobowiązany jest podać m.in. odbiorców albo kategorie odbiorców, którym je ujawniono.

Organ realizując wniosek w trybie art. 15 ust. 1 RODO, poinformował naszego klienta, że jego dane osobowe nie były przekazywane podmiotom trzecim. Czy to cokolwiek oznacza? Tak. Organ kłamie albo nie wie, że doszło u niego do naruszenia ochrony danych osobowych. W tych okolicznościach jeszcze bardziej uzasadniona jest ingerencja organu nadzorczego ds. danych osobowych, czyli Prezesa UODO.

Niezależnie od skargi na naruszenie ochrony danych osobowych do Prezesa UODO, zaleciliśmy też skierowanie skargi do organu, którego pracownik ujawnił dane osobowe naszego klienta w trybie przewidzianym w Kodeksie postępowania administracyjnego.

Co grozi organowi?

Organ administracji w sprawach związanych z ochroną danych osobowych jest ich administratorem. Wszystkie naruszenia ochrony danych osobowych rozpatrywać należy na gruncie RODO oraz Ustawy o ochronie danych osobowych[2].

W przypadku stwierdzenia naruszenia ochrony danych osobowych Prezes UODO może zastosować wobec administratora danych (organu) szereg środków dyscyplinująco-zaradczych, m.in.: udzielić upomnienia, nakazać dostosowanie operacji przetwarzania do przepisów RODO, nakazać administratorowi zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych. Może on również nałożyć na administratora administracyjną karę pieniężną, która w przypadku jednostek sektora finansów publicznych wynosi maksymalnie 100.000 zł. Za naruszenie ochrony danych osobowych odpowiada administrator danych. Nie wyklucza to jednak odpowiedzialności dyscyplinarnej pracownika, który do takiego naruszenia doprowadził.

Organy administracji zobowiązane są chronić prywatność nie tylko osób, których dane mogą zostać ujawnione przy udostępnianiu informacji. Przede wszystkim powinny one chronić dane osobowe wnioskodawców. Ujawnianie takich danych podmiotom trzecim pozbawione jest całkowicie podstawy prawnej, bowiem przetwarzanie ich w celu realizacji wniosku
o udostępnienie informacji publicznej nie uprawnia organu do udostępniania ich innym podmiotom.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1).

[2] Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2019 poz. 1781)