Dane osobowe na stronach urzędów – kiedy je usuwać

Instytucje publiczne mają obowiązek umieszczania danych osobowych na swoich stronach internetowych. Wynika to z konstytucyjnej zasady wyrażonej w art. 61 Konstytucji RP, która dotyczy jawności administracji publicznej. Ta zasada została w szczegółowy sposób uregulowana w ustawie o dostępie do informacji publicznej (uodp).

Wytyczne dotyczące sposobu publikowania informacji na stronach internetowych przez instytucje publiczne znajdują się w rozporządzeniu ministra spraw wewnętrznych i administracji w sprawie Biuletynu Informacji Publicznej.

Na podstawie obowiązującego prawa instytucje publiczne są zobowiązane do udzielania obywatelom informacji na temat ich działalności. Prawo to nie ma jednak charakteru absolutnego. Podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych. Prawo do informacji publicznej podlega też ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy.

W ramach „prywatności osoby fizycznej” mieszczą się przepisy ustawy o ochronie danych osobowych. Zakładają one szeroką ochronę przetwarzanych danych osobowych. Pod pojęciem przetwarzania należy rozumieć nie tylko zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie danych osobowych, ale także ich udostępnianie.

Przetwarzanie danych osobowych jest możliwe, jeżeli jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a za takie zostały uznane przez WSA przepisy o udostępnianiu informacji publicznych.

Na tle omawianego zagadnienia z jednej strony występuje prawo dostępu do informacji publicznej zawierającej dane osobowe, z drugiej zaś poszanowanie prywatności osób, których dane dotyczą. Rozważając kwestię relacji zachodzących pomiędzy przepisami dotyczącymi ochrony danych osobowych a dostępem do informacji publicznej, warto przytoczyć wyrok WSA w Warszawie.

Uznał on, że w przypadku kolizji pomiędzy tymi prawami przepisy ustawy o ochronie danych osobowych mają pierwszeństwo przed przepisami ustawy o dostępie do informacji publicznej. W ocenie sądu celem ustawy jest nie tylko ochrona tych osób, których przetwarzane dane mają dotyczyć, ale przestrzeganie zakresu i trybu przetwarzania.

Tego poglądu nie podzielił NSA, który stanął na stanowisku, że „obie ustawy są równorzędnymi aktami prawnymi i w każdej sprawie staje się konieczne wyważenie możliwości realizowania prawa do informacji publicznej w sytuacji, gdy w tej informacji zawarte są jednocześnie dane osobowe”.

Zgodnie z uodp podmioty udostępniające informacje publiczne w BIP są zobowiązane do oznaczenia czasu wytworzenia informacji i czasu jej udostępniania oraz zabezpieczania możliwości identyfikacji czasu rzeczywistego udostępniania informacji

Zdarza się, że w poszczególnych aktach branżowych znajdują się przepisy określające czas publikowania informacji. Prawo zamówień publicznych wskazuje, że „specyfikację istotnych warunków zamówienia udostępnia się na stronie internetowej od dnia zamieszczenia ogłoszenia o zamówieniu w Biuletynie Informacji Publicznej Zamówień Publicznych albo publikacji w Dzienniku Urzędowym Unii Europejskiej do upływu terminu składania ofert”.

Przy udzielaniu odpowiedzi na pytanie o czas publikacji informacji publicznej pomocny jest art. 3 ust. 2 uodp, który zaleca, by dostępna informacja publiczna „zawierała aktualną wiedzę o sprawach publicznych” .

Ustawodawca nie doprecyzował jednak, jakie kryterium należy zastosować przy dokonywaniu oceny ich aktualności. Z pewnością aktualne nie będą informacje, które są dostępne od dłuższego czasu lub zostały zastąpione przez nowsze informacje.

Także na gruncie uodo brak jest przepisów prawnych wskazujących, jak długo dane osobowe powinny być powszechnie dostępne. Zgodnie z art. 26 ust. 1 pkt 3 uodo administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesu osób, których dane dotyczą, a w szczególności jest zobowiązany zapewnić, aby dane były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

Natomiast pkt 4 cytowanego artykułu zobowiązuje administratorów do przechowywania danych w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.