Protection of personal data in submitting applications to public administration bodies in general administrative proceedings. Part Two
The aim of this article is to indicate the general problems regarding the protection of personal data of participants in administrative proceedings in submitting applications to public administration bodies. Since May 4, 2019, general administrative proceedings are governed by the provisions of, among others, Articles 2a, 61 § 5, 61a § 1 sentence 2, 65 § 1a, 66 § 1 sentence 3 of the Polish Code of Administrative Procedure, applied in conjunction with Article 13(1) and (2), Article 15 and Article 18 of the General Data Protection Regulation (GDPR). The provisions of the Polish Code of Administrative Procedure indicate expressis verbis the moment of the execution of an obligation to share information by the authority and its form, while – in the remaining areas – the provisions of the GDPR, which determine the content of the information and the rules of its disclosure, shall apply. This matter is covered by two complementary studies, presented in parts. The first one – published in the issue no 1 (22)/2020 – specified what is meant as a „submission” in the general administrative procedure, as well as outlined the acceptable forms and ways of submission of applications. It also defined the moment of the execution of an obligation to share information by the public administration body and the subjective scope of this obligation. The following (second) part of the study analyses the form and scope of the obligation, describes how this obligation should be implemented in the event of a change in the purpose and scope of data processing and which rules determine its implementation. It is also specified how the scope of the execution of an obligation to share information by the public administration body appears in relation to the party’s legal representative.
Keywords: General Data Protection Regulation (GDPR), administrative procedure, submissions, personal data protection, means of electronic communication
Słowa kluczowe: rozporządzenie o ochronie danych osobowych (RODO), postępowanie administracyjne, podania, ochrona danych osobowych, środki komunikacji elektronicznej
1. Wprowadzenie
Jednym z celów współczesnego państwa jest m.in. ochrona danych osobowych uczestników postępowania przed organami państwa, w tym także stron i innych uczestników ogólnego postępowania administracyjnego (uregulowanego w ustawie z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego[1]). Od 4 maja 2019 r. ochrona ta znajduje expressis verbis swoje odzwierciedlenie m.in. w postaci dodanych przepisów art. 2a, art. 61 § 5, art. 61a § 1 zd. 2, art. 65 § 1a, art. 66 § 1 zd. 3 k.p.a., stosowanych w zw. z art. 13 ust. 1 i ust. 2, art. 15 i art. 18 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[2], dalej jako „RODO”. W niniejszym opracowaniu skupiono się na problematyce ochrony danych osobowych stron (oraz innych uczestników ogólnego postępowania administracyjnego) przy wniesieniu przez te podmioty podania do organu administracji publicznej. Przepisy k.p.a. wskazują jedynie ogólnie na moment realizacji obowiązku informacyjnego oraz jego formę, w pozostałym zakresie zastosowanie znajdą przepisy RODO, które ustalają treść informacji oraz zasady jej udzielania (art. 13 ust. 1–2 i art. 12 ust. 1, ust. 5, ust. 7–8 RODO). W prezentowanej części opracowania analizie poddano w szczególności formę realizacji obowiązku informacyjnego organu i jego zakres przedmiotowy, wskazano, jak obowiązek ten powinien być realizowany w przypadku zmiany celu i zakresu przetwarzania danych osobowych, a także jakie zasady rządzą jego realizacją. W części tej wskazano także, jak wygląda zakres obowiązku informacyjnego organu administracji publicznej w stosunku do pełnomocnika procesowego strony.
2. Zakres przedmiotowy obowiązku informacyjnego
organu administracji publicznej
Zakres przedmiotowy obowiązku informacyjnego organu administracji publicznej w stosunku do uczestników postępowania wyznacza art. 13 ust. 1 i 2 RODO. Zgodnie z treścią art. 2a § 1 k.p.a. kodeks normuje sposób wykonywania tego obowiązku w postępowaniach wymienionych w art. 1 i art. 2 k.p.a. Powyższe oznacza, że ustawodawca aktualnie określa wyłącznie „sposoby wykonywania obowiązku wynikającego z odpowiednich regulacji RODO”, nie ustalając natomiast wprost zasad wykonywania tego obowiązku. Przedstawiony zabieg prawodawcy krajowego związany jest z tym, że wymieniona w RODO ochrona danych osobowych stanowi podstawowe prawo każdej jednostki, któremu Unia Europejska zdecydowała się nadać wspólne i obowiązujące jednolicie na terenie całej UE ramy prawne. Tym samym realizacja obowiązków wynikających z przepisów RODO nie stanowi zasadniczo dla organów administracji publicznej przedmiotu i głównego celu postępowania administracyjnego. Organy administracji publicznej na mocy art. 2a k.p.a. są jednakże ustawowo zobowiązane do przestrzegania w całym toku instancji regulacji europejskich, dotyczących ochrony danych osobowych, w tym również do realizowania wynikających z tych unormowań obowiązków[3].
Z treści art. 13 ust. 1 RODO wynika, że jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje: a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela; b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania; d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią; e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia. Wymieniona powyżej regulacja nakłada więc na organy administracji publicznej każdorazowy obowiązek przedstawiania, przy pierwszej czynności skierowanej do danego podmiotu, stronie (lub innemu uczestnikowi postępowania), której dane dotyczą i od której te dane są zbierane, następujących informacji: a) nazwy organu administracji publicznej, jego adresu siedziby oraz pozostałych danych kontaktowych organu, tj. numeru telefonu lub opcjonalnie adresu e-mail, telefaksu bądź adresu skrytki ePUAP; b) imienia i nazwiska (nazwy), miejsca zamieszkania bądź siedziby, a także pozostałych danych kontaktowych inspektora danych osobowych, dalej jako „IOD”[4]; c) celu przetwarzania danych osobowych, którym zasadniczo będzie „prowadzenie postępowania administracyjnego”. Należy jednak zauważyć, że w przypadku, gdy organ administracji publicznej w momencie zbierania określonych danych osobowych nie posiada wiedzy o wszystkich celach przetwarzania danych, wystarczające będzie przekazanie stronie wyłącznie „informacji opisujących cele znane organowi administracji publicznej w momencie zbierania danych, bez konieczności wskazywania pozostałych celów potencjalnych zbierania danych osobowych”[5]; d) podstawy prawnej przetwarzania danych osobowych, tj. przesłanek legalizacyjnych określonych w art. 6, 9 i 10 RODO. Zazwyczaj w odniesieniu do postępowania administracyjnego przesłankami dopuszczającymi przetwarzanie danych osobowych będą przypadki wymienione w art. 6 ust. 1 lit. c RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) oraz art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi)[6]. W przypadku pierwszej z przedstawionych przesłanek organ administracji publicznej – w celu spełnienia obowiązku informacyjnego – obowiązany będzie do powołania się w informacji kierowanej do uczestników postępowania na podstawę prawną przetwarzania wyraźnie określoną w prawie Unii Europejskiej lub w prawie krajowym. Oznacza to, że organ administracji publicznej w informacji kierowanej do strony lub innego uczestnika postępowania może się powoływać co do zasady jedynie na polskie przepisy lub prawa UE – powszechnie obowiązujące (ustawowe lub pozaustawowe) i które znajdują bezpośrednie zastosowanie[7]. Mając natomiast na uwadze drugą z zaprezentowanych przesłanek – w celu zrealizowania obowiązku informacyjnego – organ administracji publicznej będzie mógł się powoływać na nią wyłącznie w sytuacji, gdy wyznaczające zakres działania organu normy kompetencyjne będą mu na to zezwalały. Stosownie do tego podstawa prawna przetwarzania danych osobowych określona w art. 6 ust. 1 lit. e RODO nie może być rozumiana jako generalne zezwolenie na przetwarzanie danych przez organy władzy publicznej[8]. Odnosząc się do powyższego, wypada w takim razie zauważyć, że w odniesieniu do organów administracji publicznej podstawy przetwarzania danych osobowych zawarte w art. 6 ust. 1 lit. c oraz e RODO wzajemnie się uzupełniają, wymienione w nich przesłanki legalizacyjne regulują bowiem sytuacje, w których w przepisach prawa UE lub prawa krajowego wprost wskazano obowiązek przetwarzania określonych danych lub też określono zadania, do realizacji których niezbędne jest przetwarzanie danych osobowych[9]. Wydaje się, że opisane powyżej przesłanki przetwarzania danych osobowych nie wyczerpują wszystkich sytuacji, w których przetwarzanie danych przez organ, w toku postępowań określonych w k.p.a., jest prawnie dopuszczalne[10]. Zgodnie z brzmieniem art. 13 ust. 1 pkt e RODO organ administracji publicznej (będący administratorem danych) podczas pozyskiwania danych osobowych podaje także informacje o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją). Organ administracji publicznej powinien również poinformować uczestnika postępowania, od którego dane są pozyskiwane i którego dane osobowe dotyczą, o podmiotach, którym zamierza ujawnić jego dane osobowe. Zgodnie z treścią art. 4 pkt 9 zd. 1 RODO odbiorcą danych osobowych może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy są one stroną trzecią. Należy jednak zauważyć, że powyższy obowiązek co do zasady nie dotyczy danych przekazywanych lub udostępnianych wobec innych organów publicznych (np. Policji, sądów, prokuratury itp.), które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. Takie organy w świetle prawa europejskiego nie są bowiem uznawane za odbiorców danych osobowych. Przetwarzanie tych danych przez te organy publiczne powinno jednakże być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania (art. 4 pkt 9 zd. 2 RODO). W świetle przepisu art. 13 ust. 1 pkt f RODO organ administracji podczas pozyskiwania danych osobowych podaje także informacje (gdy wynika to z charakteru sprawy) o przekazaniu danych osobowych do państwa trzeciego. Precyzując, obowiązek ten będzie dotyczył sytuacji, np. gdy przepis prawa powszechnie obowiązującego zobowiązuje organ do przekazania określonych danych osobowych uczestnika postępowania do państwa trzeciego. Wydaje się również, że organ administracji publicznej będzie musiał poinformować podmiot wnoszący podanie o przekazaniu jego danych osobowych do państwa trzeciego, w razie skorzystania w postępowaniu administracyjnym z trybu europejskiej współpracy administracyjnej (art. 260a–260g k.p.a.). W zakresie tego trybu zazwyczaj dochodzi bowiem do ujawnienia innemu (europejskiemu) organowi administracji publicznej określonych danych osobowych. Wypada zauważyć, że analogiczny do powyższego obowiązek informacyjny po stronie organu powstanie także w przypadku, gdy Komisja Europejska stwierdzi istnienie lub nieistnienie odpowiedniego stopnia ochrony danych osobowych w państwie, do którego ma nastąpić przekazanie danych. Jeżeli natomiast przekazanie danych osobowych odbywało się będzie na zasadzie art. 46, 47 lub art. 49 ust. 1 akapit drugi RODO, podmiot publiczny powinien poinformować podmiot składający podanie, którego dane dotyczą, o odpowiednich zabezpieczeniach w zakresie ochrony danych osobowych, które zostały zastosowane w związku z przekazaniem jego danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o tym, gdzie i jak można uzyskać informację na ich temat[11].
Trzeba podkreślić, że poza informacjami, o których mowa powyżej, podczas pozyskiwania danych organ administracji publicznej powinien podać stronie (innemu uczestnikowi), której dane osobowe dotyczą i od której dane te są zbierane, także dodatkowo informacje szczegółowo wymienione w art. 13 ust. 2 RODO. Mając na uwadze powyższe, organ powinien więc przede wszystkim w informacji kierowanej do strony poinformować ją również o czasie przechowywania jej danych osobowych. Czas przechowywania danych powinien być określony przez organ jak najdokładniej – tj. w dniach, tygodniach, miesiącach lub latach. Obowiązek podania stronie okresu przechowywania jej danych osobowych przez organ administracji publicznej służy praktycznej realizacji jednej z naczelnych zasad RODO – tzw. zasady ograniczenia przechowywania danych osobowych. W informacji kierowanej do podmiotu wnoszącego podanie organ administracji powinien także zawrzeć zbiorczo informacje o przysługujących mu uprawieniach wynikających z odpowiednich unormowań RODO, w tym m.in. o prawie dostępu do przechowywanych przez organ danych osobowych, prawie do sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, prawie do przenoszenia danych, prawie do cofnięcia zgody na przetwarzanie danych, prawie wniesienia sprzeciwu wobec przetwarzania danych oraz prawie do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (art. 13 ust. 2 lit. b–d RODO). W literaturze wskazuje się, że przedstawienie przez organ powołanych informacji ma na celu umożliwienie stronie (innemu uczestnikowi), której dane osobowe dotyczą, skorzystanie z wyżej wymienionych praw[12]. Poza tym w ramach dodatkowych informacji organ administracji publicznej powinien także poinformować podmiot składający wniosek o tym, czy podanie przez niego danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy podmiot składający, którego dane dotyczą, jest zobowiązany do ich podania i jakie są ewentualne konsekwencje niepodania danych osobowych. Organ administracji publicznej powinien także poinformować stronę o zautomatyzowanym podejmowaniu decyzji, w tym także o profilowaniu, o których mowa w art. 22 RODO, w sytuacji gdy dane osobowe podmiotu wnoszącego podanie będą uczestniczyły w takich procesach. W takim też przypadku organ zobowiązany jest poinformować stronę o zasadach podejmowania zautomatyzowanych decyzji oraz o znaczeniu i przewidywanych konsekwencjach prawnych przetwarzania danych osobowych z zastosowaniem takiego sposobu podejmowania decyzji administracyjnej (art. 13 ust. 2 lit. f RODO). Wypada zauważyć, że w podanym powyżej ujęciu pojęcie „istotne zasady” automatycznego podejmowania decyzji oparte na profilowaniu oraz „istotne zasady” profilowania powinno być interpretowane z punktu widzenia celu, w jakim został ustanowiony ten obowiązek informacyjny. Celem tym jest zapewnienie przejrzystości wszelkich okoliczności związanych z profilowaniem[13].
Należy zauważyć, że zgodnie z art. 2 ust. 1 RODO europejskie przepisy o ochronie danych osobowych mają zasadniczo zastosowanie do wszelkich przypadków przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Przepisy te mają zatem pełne zastosowanie do sytuacji prawnych zbierania danych osobowych wymienionych m.in. w art. 13 RODO (zbieranie danych osobowych od osoby, której dane dotyczą) oraz art. 14 RODO (zbieranie danych osobowych od osoby, której dane nie dotyczą)[14]. Nieco inaczej natomiast sposób pozyskiwania danych osobowych regulują unormowania k.p.a. Trzeba bowiem wskazać, że zgodnie z art. 2a § 1 k.p.a. kodeks normuje wyłącznie sposób wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 RODO. Oznacza to, że poza zakresem ochrony k.p.a. znajduje się w szczególności przypadek pozyskiwania danych osobowych od podmiotów, których te dane nie dotyczą. Wyłączenie to jest na tyle uzasadnione, że zbieranie przez organy administracji danych osobowych odbywa się zazwyczaj w celu realizacji różnego rodzaju zadań publicznych. W związku z tym informowanie każdego podmiotu o przetwarzaniu jego danych osobowych wydaje się być, z punktu widzenia zasad postępowania administracyjnego, w tym przede wszystkim szybkości postępowania administracyjnego, niecelowe. Z treści art. 2a § 1 k.p.a. wynika także, że obowiązek informacyjny organu administracji publicznej, wymieniony w art. 13 ust. 1–2 RODO, dotyczyć może także tylko tych postępowań, które są szczegółowo określone przez ustawodawcę w art. 1–2 k.p.a. Obowiązek informacyjny powinien być zatem realizowany przez organy administracji publicznej w szczególności w toku ogólnego postępowania administracyjnego. Obowiązek ten obciąża organy prowadzące również inne procedury administracyjne uregulowane w k.p.a., jak w szczególności postępowanie o rozstrzyganie sporów o właściwość, postępowanie o wydanie zaświadczenia, postępowanie w sprawie skarg i wniosków (dział VIII k.p.a.). To oznacza, że z zakresu obowiązku informacyjnego organu administracji publicznej wyłączone są zasadniczo wszelkie inne postępowania[15]. Z zakresu tego wyłączone jest także przetwarzanie danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 3, 5, 6 i 14 ustawy z 27 sierpnia 2009 r. o finansach publicznych[16], w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą, a także przetwarzanie danych osobowych w ramach działalności służb specjalnych w rozumieniu art. 11 ustawy z 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu[17]. Obowiązek informacyjny organu administracji publicznej jest również wyłączony w zakresie przetwarzania danych w ramach wykonywania przez organ działalności nieobjętej zakresem prawa Unii Europejskiej oraz w obrębie wykonywania działalności wchodzących w zakres tytułu V rozdział 2 TUE – tj. wspólnej polityki zagranicznej i bezpieczeństwa (art. 2 ust. 1 lit. a–b RODO)[18]. Obowiązek informacyjny ulega także wyłączeniu w przypadku, gdy strona lub inny uczestnik postępowania, których dane osobowe dotyczą, dysponują już określonymi informacjami o ich przetwarzaniu, a ich zakres i treść nie uległa zmianie (art. 2a k.p.a. w zw. z art. 13 ust. 4 RODO).
3. Zakres obowiązku informacyjnego organu administracji publicznej w stosunku do pełnomocnika procesowego
Zasadniczo art. 2a k.p.a. zobowiązuje organy administracji publicznej do udzielania informacji, o których mowa w art. 13 ust. 1–2 RODO, wyłącznie stronom lub innym uczestnikom postępowania wnoszącym podanie. Podmioty te w postępowaniu administracyjnym, na podstawie art. 33 k.p.a., mogą jednakże działać przez wyznaczonych przedstawicieli ustawowych lub pełnomocników (radców prawnych, adwokatów oraz niekiedy członków najbliższej rodziny). W takim razie powstaje pytanie, czy podmiot publiczny powinien realizować obowiązek informacyjny także lub wyłącznie wobec reprezentanta procesowego strony lub innego uczestnika postępowania. Mając na uwadze powyższe, wyłania się także drugie pytanie: czy zakres obowiązku informacyjnego organu w stosunku do wyżej wymienionej kategorii zastępców procesowych jest taki sam jak w przypadku stron lub innych uczestników postępowania administracyjnego.
Udzielając odpowiedzi na pierwsze z postawionych pytań, należy przypomnieć, że generalnie kodeks normuje tylko sposób wykonywania obowiązku z art. 13 ust. 1–2 RODO. To oznacza – o czym była już mowa wcześniej – że z zakresu uregulowanego w k.p.a. obowiązku informacyjnego wyłączone są wszelkie przypadki pozyskiwania i przetwarzania danych osobowych od osób, których te dane nie dotyczą. W przypadku działania przez strony lub innych uczestników postępowania za pośrednictwem przedstawiciela ustawowego lub pełnomocnika nie dochodzi jednak – zdaniem autorów – do pozyskiwania danych osobowych strony (innych uczestników) z innych źródeł niż wymienione w art. 13 ust. 1 RODO. Zgodnie bowiem z utrwalonym już w orzecznictwie sądowym poglądem w razie działania strony postępowania administracyjnego przez zastępcę procesowego dochodzi pomiędzy pełnomocnikiem a podmiotem reprezentowanym do zawiązania takiego stosunku, że każde działanie lub zaniechanie pełnomocnika odnosi bezpośredni skutek w sferze praw i obowiązków podmiotu reprezentowanego. W takim razie działanie pełnomocnika należy uznawać za bezpośrednie działanie w nim reprezentowanego[19]. Wymieniona sytuacja rodzi natomiast po stronie organu administracji publicznej obowiązek ustawowy poinformowania pełnomocnika o treści art. 13 ust. 1–2 RODO, w zakresie danych osobowych dotyczących zastępowanej przez niego strony lub innego uczestnika postępowania. Niezależnie od tego trzeba zauważyć, że w przedstawionym powyżej przypadku organ powinien zrealizować odrębny obowiązek informacyjny, o którym mowa w art. 2a § 1 k.p.a., także wobec samego pełnomocnika lub przedstawiciela ustawowego strony (innego uczestnika). W postępowaniu administracyjnym pełnomocnikiem strony lub innego uczestnika postępowania administracyjnego może być bowiem wyłącznie osoba fizyczna, której dane osobowe również powinny podlegać ochronie wynikającej z RODO.
Udzielając odpowiedzi na drugie z postawionych pytań, należy zauważyć, że zakres obowiązku informacyjnego ciążącego na organie administracji publicznej zasadniczo nie będzie się różnił w przypadku przekazywania tych informacji stronie lub innemu uczestnikowi postępowania, czy też w sytuacji realizacji obowiązku informacyjnego wobec ich pełnomocników lub przedstawicieli ustawowych. Mając to na uwadze, organ administracji publicznej powinien, przy pierwszej skierowanej do nich czynności, przekazać stronie lub innemu uczestnikowi postępowania oraz ich pełnomocnikom wszelkie informacje, o których mowa w art. 13 ust. 1–2 RODO.
4. Zasady wykonywania przez organ administracji
publicznej obowiązku informacyjnego
Ogólne rozporządzenie o ochronie danych osobowych, podobnie jak wcześniej dyrektywa 95/46/WE oraz ustawa o ochronie danych osobowych, określa zasady, którymi należy się kierować podczas przetwarzania danych osobowych[20]. Katalog tych zasad został enumeratywnie wymieniony w art. 5 ust. 1–2 RODO. Wypada wskazać, że zasady te mają w pełni zastosowanie do procesu przetwarzania danych osobowych przez organy administracji publicznej w ogólnym postępowaniu administracyjnym, w postępowaniu o rozstrzyganie sporów o właściwość, o wydanie zaświadczenia czy w sprawie skarg i wniosków.
To oznacza, że do prawem ustalonych obowiązków organu podczas przetwarzania przez nie różnego rodzaju danych osobowych we wskazanych postępowaniach należy zapewnianie, aby przetwarzanie danych odbywało się: a) zgodnie z prawem i rzetelnie (zasada legalności), b) w konkretnym, wyraźnym i prawem ustalonym celu (zasada celowości), c) w sposób ograniczony, pod względem ilości i treści, do zakresu niezbędnego do osiągnięcia celów ich przetwarzania (zasada minimalizacji danych), d) aby przetwarzane dane osobowe były merytorycznie poprawne i aktualne (zasada prawidłowości), e) aby dane były przechowywane przez organ przez okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, w których dane te są przetwarzane (zasada ograniczenia przechowywania), f) aby przetwarzanie danych osobowych przebiegało w sposób zapewniający odpowiednie bezpieczeństwo pozyskiwanych danych osobowych (zasada integralności i poufności). Dodatkowo organ administracji publicznej powinien także umieć wykazać przestrzeganie w toku procesu przetwarzania danych osobowych wyżej wskazanych zasad (zasada rozliczalności).
Z powyższego wynika zatem, że do prawem określonych powinności organu administracji publicznej należy przede wszystkim zapewnianie, aby przetwarzanie danych osobowych w ogólnym postępowaniu administracyjnym odbywało się na podstawie co najmniej jednej z przesłanek uprawniających do przetwarzania, określonych w art. 6 ust. 1 lit. a–f lub w art. 9 ust. 2 lit. a–j RODO. Gdy nie jest spełniony którykolwiek z określonych wyżej warunków, przetwarzanie danych osobowych przez organ administracji publicznej należy uznać za działanie bezprawne[21].
Przetwarzanie danych osobowych w postępowaniu administracyjnym powinno się również odbywać w konkretnym, wyraźnym oraz prawnie uzasadnionym celu. Cel ten powinien być zasadniczo z góry określony. Mając więc na uwadze drugą z wymienionych zasad rządzących przetwarzaniem danych osobowych (tj. zasadę celowości), należy wskazać, że cele przetwarzania danych w postępowaniu administracyjnym powinny być po pierwsze jednoznaczne i wyraźnie sprecyzowane przez organ, po drugie powinny być one usprawiedliwione (tzn. zgodne z prawem), po trzecie muszą być one zgodne z celami, dla których dane osobowe zostały zebrane, po czwarte powinny być one ściśle określone w czasie[22]. Z zasady celowości wynika również, że w żadnym wypadku organy w toku zbierania danych osobowych nie mogą zatajać lub ustalać celów zbierania danych w sposób ogólnikowy[23]. W literaturze przedmiotu zaznacza się, że konieczność oznaczenia przez organ celów przetwarzania danych osobowych jest równoznaczna z zakazem zbierania danych „na zapas” dla przyszłych, nieoznaczonych jeszcze celów[24]. Należy jednak przypomnieć, że zasadniczo dopuszczalne jest oznaczanie przez organ w informacji kierowanej do strony (innego uczestnika) wyłącznie takich celów, które znane są organowi w momencie zbierania danych osobowych, bez konieczności wskazywania pozostałych celów potencjalnych zbierania tych danych[25]. W takiej sytuacji organ jednakże powinien wszechstronnie rozważyć zakres zbieranych danych osobowych i cel ich przetwarzania na gruncie konkretnej sprawy administracyjnej.
W kontekście powyższego wypada zaznaczyć, że jednym z elementarnych wymogów rzetelnego i prawidłowego przetwarzania danych osobowych jest zapewnianie przez organy administracji publicznej, aby zakres i cele przetwarzanych przez nie danych były prawidłowe i aktualne. W związku z tym obok zasady celowości zbierania danych osobowych organy powinny również przestrzegać zasady prawidłowości i aktualności przetwarzanych przez siebie danych osobowych. Z zasady merytorycznej prawidłowości przetwarzania danych wynika, że organy muszą podejmować wszelkie niezbędne działania organizacyjno-prawne, aby dane osobowe, które są nieprawidłowe w świetle celów ich przestrzegania, zostały bez zbędnej zwłoki usunięte lub sprostowane. Dane nieprawidłowe powinny zostać zatem usunięte lub sprostowane przez organ z urzędu lub na żądanie osoby, której dane te dotyczą[26]. Organy administracji publicznej powinny również pilnować, aby wykorzystywane dane osobowe pozostawały aktualne. W świetle regulacji RODO przetwarzanie danych osobowych, które uległy już dezaktualizacji, należy bowiem uznać za działanie bezprawne[27].
Z zasady aktualności danych osobowych wynika także obowiązek każdorazowego aktualizowania przez organy administracji publicznej oświadczenia informacyjnego kierowanego do strony lub innego uczestnika postępowania wraz ze zmianą okoliczności wskazanych w tym oświadczeniu. Należy bowiem zauważyć, że zgodnie z unormowaniami RODO wykonanie obowiązku informacyjnego może być uważane za prawnie skuteczne wyłącznie w sytuacji, gdy informacje udzielone w ramach jego wypełniania są zgodne ze stanem rzeczywistym. Powyższe oznacza, że w razie zmiany okoliczności przedstawionych w wymienionym oświadczeniu spełnienie obowiązku informacyjnego przez organ administracji publicznej wymaga każdorazowego ponowienia. Ponowienie obowiązku informacyjnego przez organ może przy tym pociągać zmiana dowolnej okoliczności zawartej w pierwotnym oświadczeniu informacyjnym, np. zmiana nazwy, adresu oraz tożsamości lub danych kontaktowych przedstawiciela organu administracji publicznej.
Obowiązek informacyjny organu administracji publicznej wymaga również zasadniczo ponowienia w razie zmiany pierwotnie określonego celu przetwarzania danych osobowych. Według bowiem art. 13 ust. 3 RODO, jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on o tym innym celu osobę, której dane dotyczą, oraz udziela jej wszelkich innych stosownych informacji, o których mowa w art. 13 ust. 2 RODO. Oznacza to, że zmieniając lub rozszerzając cel przetwarzania danych osobowych, organ administracji publicznej powinien liczyć się z koniecznością ponowienia obowiązku informacyjnego wobec uczestnika postępowania. Powinność ta w omawianej sytuacji ogranicza się jednak wyłącznie do obowiązku poinformowania tylko o „stosownych” informacjach z katalogu informacji, które wymieniono w art. 13 ust. 2 RODO. Z tego wynika, że organ w razie modyfikacji pierwotnego celu przetwarzania danych osobowych nie musi informować określonego uczestnika postępowania o informacjach, o których mowa w art. 13 ust. 1 RODO[28]. W tym miejscu warto jednak zwrócić uwagę, że obowiązek ponownego informowania uczestnika postępowania w razie zmiany lub rozszerzenia celu przetwarzania danych osobowych będzie co do zasady wyłączony w sytuacjach wymienionych przez ustawodawcę polskiego w art. 3 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych[29], dalej jako „u.o.d.o.”. Zgodnie tym przepisem administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3 RODO, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3 RODO, jest niezbędne dla realizacji celów wskazanych w art. 23 ust. 1 RODO, oraz przekazanie tych informacji: 1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub 2) naruszy ochronę informacji niejawnych. W takim jednak przypadku organ powinien zapewnić uczestnikowi postępowania odpowiednie środki służące ochronie jego interesu lub jego podstawowych praw i wolności. W zaprezentowanej sytuacji organ administracji publicznej obowiązany jest także do poinformowania podmiotu, którego dane dotyczą, na jego wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji z art. 13 ust. 3 RODO (art. 3 ust. 2–3 u.o.d.o.). Obowiązek ponownego poinformowania podmiotu administrowanego o zmianie lub rozszerzeniu celu przetwarzania danych osobowych jest również wyłączony – o czym była już mowa szeroko wcześniej, gdy – i w zakresie, w jakim – uczestnik postępowania, którego dane dotyczą, dysponuje już tymi informacjami[30].
Mając na uwadze powyższe, należy zauważyć, że obowiązek ponowienia oświadczenia informacyjnego określonego w art. 13 RODO aktualizuje się również w każdej sytuacji, w której organ administracji publicznej pozyskuje nowe – dotąd nieprzetwarzane – dane osobowe od uczestnika postępowania. W takim jednak przypadku obowiązek informacyjny powinien być wykonany przez podmiot publiczny w pełnym zakresie, nieograniczonym wyłącznie do art. 13 ust. 2 RODO. Obowiązek informacyjny nie będzie ciążył na organie, gdy w wyniku prowadzonych przez niego działań lub też aktywności podmiotu, którego dane dotyczą, posiadane przez organ dane zostaną jedynie zaktualizowane (zmienione) lub usunięte, natomiast nie dojdzie do pozyskania nowych kategorii informacji[31].
Zgodnie z art. 5 ust. 1 lit. c RODO dane osobowe muszą być także zbierane przez organy administracji publicznej od uczestników postępowania tylko w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych). Z zasady tej wynika, że organy powinny zawsze ustalać wzajemną zależność pomiędzy zakresem przetwarzanych przez nie danych osobowych a celem ich zbierania, kierując się przy tym dwoma wymogami: a) ograniczaniem zbierania danych wyłącznie do tych, które są niezbędne do osiągnięcia celu postępowania administracyjnego, oraz b) koniecznością usuwania danych w przypadku, gdy staną się one zbędne do osiągnięcia celu przetwarzania. Wymogi te powinny być rozważane przez organy administracji w każdym ogólnym postępowaniu administracyjnym łącznie[32].
Z zasadą minimalizacji danych ściśle łączy się także zasada ograniczenia przechowywania danych osobowych, zgodnie z którą dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (art. 5 ust. 1 lit. e RODO). Zasada ta nakłada zatem na organy administracji publicznej ogólny zakaz przechowywania danych osobowych stron i innych uczestników postępowania w nieskończoność. O czasie przechowywania przez organ danych osobowych każdorazowo decyduje cel ich przetwarzania. Należy zauważyć, że z tą zasadą koresponduje uprawnienie uczestników postępowania do usunięcia danych (tzw. prawo do bycia zapomnianym). Podkreślenia wymaga, że zgodnie z art. 6 ust. 4 RODO może dojść do zmiany celu, jak również okresy przechowywania mogą być szczegółowo określone w przepisach szczególnych. Z tego względu nie zawsze proste będzie ustalenie przez organ konkretnych okresów przechowywania danych, będzie ono bowiem wymagało analizy wszystkich celów i przepisów, które w tym zakresie mogą znaleźć zastosowanie[33]. Wypada przy tym wskazać, że organ administracji może przechowywać dane osobowe uczestników postępowania przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną przez podmiot publiczny odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności podmiotów, których dane osobowe dotyczą.
W procesie przetwarzania danych osobowych organy powinny także przestrzegać zasady integralności i poufności, wedle której dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f RODO). Z zasady tej wynika, że organy administracji publicznej w toku przetwarzania danych osobowych powinny wprowadzić takie rozwiązania organizacyjno-techniczne, aby zapewniały one odpowiedni poziom bezpieczeństwa przetwarzanych przez organy publiczne danych osobowych. Zabezpieczenia te powinny przy tym chronić dane osobowe w szczególności przed: a) niedozwolonym lub niezgodnym z prawem przetwarzaniem – np. przez osoby nieuprawnione lub osoby trzecie oraz b) przypadkową utratą, zniszczeniem lub uszkodzeniem danych osobowych. Do przykładowego katalogu środków organizacyjnych mogących znaleźć zastosowanie w powyższym celu można zaliczyć np. wdrożenie przez organ administracji specjalnych procedur związanych z przechowywaniem i zabezpieczaniem nośników danych, na których znajdują się przetwarzane dane, lub kodeksów postępowań z danymi itd. Natomiast do środków technicznych zabezpieczania danych osobowych można zaliczyć używanie przez organ administracji publicznej m.in.: a) specjalnych szafek, biurek itp., zgodnych z wymogami RODO, b) stosowanie różnych zabezpieczeń technicznych systemów teleinformatycznych m.in. poprzez zastosowanie UTM inteligentnych zapór sieciowych, używanie antywirusów, tworzenie i używanie wewnętrznych sieci prywatnych organu administracji publicznej (VPN), tworzenie kopii zapasowych danych, stosowanie szyfrowania przetwarzanych danych lub zabezpieczanie w odpowiedni sposób sieci Wi-Fi organu itp.
Zgodnie z zasadą rozliczalności organ administracji publicznej przetwarzający dane pozyskane od uczestników postępowania, które dotyczą tych podmiotów, jest odpowiedzialny za przestrzeganie wyżej zaprezentowanych zasad postępowania z danymi osobowymi i powinien być w stanie wykazać przestrzeganie tych zasad w całym toku postępowania administracyjnego. W związku z tym powinien tak zorganizować cały proces przetwarzania tych danych, aby móc wykazać przed Prezesem Urzędu Ochrony Danych Osobowych przestrzeganie tych zasad. Organ administracji publicznej powinien także używać w celu ochrony danych wszelkich odpowiednich środków zabezpieczenia ich przetwarzania, w tym również dokonywać czasowej weryfikacji i aktualizacji tych środków. Natomiast w przypadku naruszenia którejkolwiek z zasad określonych w art. 5 ust. 1 i ust. 2 RODO organ administracji publicznej może narazić się na wiele negatywnych dla siebie konsekwencji prawnych, które określone zostały zarówno w art. 77 i n. RODO, jak i w art. 92 i in. u.o.d.o.[34]
5. Forma realizacji obowiązku informacyjnego
przez organ administracji publicznej
Forma realizacji obowiązku informacyjnego określona została przez prawodawcę europejskiego w art. 12 ust. 1 RODO. Zgodnie z tym przepisem administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszystkich informacji z art. 13 i 14 RODO oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 RODO w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Mając również na uwadze art. 12 ust. 7 RODO, informacje, których udziela się osobom, których dane dotyczą, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego. Dodatkowo zgodnie z art. 12 ust. 5 RODO informacje zawarte w art. 13 i 14 RODO oraz komunikacja i działania podejmowane na podstawie art. 15–22 i 34 RODO są wolne od opłat. Jeżeli jednak żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może: a) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo b) odmówić podjęcia działań w związku z żądaniem.
Przenosząc powyższe na grunt czynności informacyjnej organu administracji publicznej, w postępowaniu administracyjnym organ obowiązany jest przede wszystkim do przekazania uczestnikom postępowania informacji, o których mowa w art. 13 ust. 1–2 RODO, w sposób zwięzły, przejrzysty, zrozumiały, w łatwo dostępnej formie oraz jasnym i prostym językiem. Oznacza to, że informacja kierowana przez organ do strony lub innego uczestnika postępowania nie może być nazbyt rozbudowana i w miarę możliwości nie może ona zawierać odnośników do innych, znajdujących się poza tekstem głównym, informacji. Informacja ta powinna być także indywidualnie przystosowana do konkretnie określonego jej adresata. W szczególności musi być ona dostosowana do wieku jej adresata oraz do stanu jego zdrowia, w tym także do jego predyspozycji w zakresie funkcji poznawczych. Oświadczenie informacyjne kierowane do uczestników postępowania nie może być także formułowane przez organ administracji publicznej z zastosowaniem zbyt fachowego języka. W przypadku obcokrajowców (co do których ex legedomniemywa się brak znajomości lub niewystarczającą znajomość języka polskiego) informacja organu powinna być także formułowana w języku dla nich zrozumiałym. W tej sytuacji przepisy RODO mają bowiem pierwszeństwo przed krajowymi uregulowaniami określonymi w ustawie z 7 października 1999 r. o języku polskim[35]. Wypada zauważyć, że organ administracji publicznej w celu wykonania obowiązku informacyjnego może także opatrzyć oświadczenie informacyjne standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania.
Informacje określone w art. 13 ust. 1–2 RODO organ administracji publicznej powinien przekazać uczestnikowi postępowania na piśmie, z zastosowaniem sposobu elektronicznego lub ustnie. Metody przekazywania oświadczenia informacyjnego przez organ administracji publicznej są w takim razie zbieżne z tymi wymienionymi w art. 14 k.p.a. Należy zauważyć, że wybór optymalnego sposobu przekazywania przez organ oświadczenia informacyjnego w ramach postępowania administracyjnego jest zdeterminowany pierwotną formą podania lub konkretnej czynności procesowej, w zakresie której strona lub inny uczestnik wyraził swoje żądanie wobec organu administracji publicznej. Z tego względu w przypadku złożenia przez te podmioty podania do organu administracji publicznej w formie dokumentu elektronicznego za pośrednictwem środków komunikacji elektronicznej obowiązek informacyjny – zgodnie z art. 391 § 1 pkt 1 k.p.a. – zasadniczo powinien być wykonany przez organ z zastosowaniem metody elektronicznej[36].
W postępowaniu administracyjnym informacje podawane przez organ uczestnikom postępowania są zasadniczo wolne od opłat (art. 12 ust. 5 RODO).
Bibliografia
Adamiak B., Borkowski J., Kodeks postępowania administracyjnego. Komentarz, wyd. 16, C.H.Beck, Warszawa 2019.
Błażejewski M., Behr J. (red.), Środki prawne ochrony danych osobowych, E-Wydawnictwo. Prawnicza i Ekonomiczna Biblioteka Cyfrowa. Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego, Wrocław 2018.
Dmochowska A., Zadrożny M. (red.), Unijna reforma ochrony danych osobowych. RODO w praktyce z uwzględnieniem: wytycznych GR Art. 29, ustawy o ochronie danych osobowych z 2018 r., Warszawa 2018.
Fajgielski P., Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018.
Fajgielski P., Dostosowanie krajowych przepisów do wymogów ogólnego rozporządzenia o ochronie danych (dodatek „MoP” 22/2019), „Monitor Prawniczy” 2019, nr 22.
Konarski X., Profilowanie danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych osobowych – dotychczasowy i przyszły stan prawny w UE oraz w Polsce, „Monitor Prawniczy” 2016, nr 20.
Lubasz D., Chomiczewski G., [w:] Bielan-Jomaa E., Lubasz D. (red.), RODO. Ogólne rozporządzenie o przetwarzaniu danych. Komentarz, Wolters Kluwer, Warszawa 2018.
Lubasz D., Kwiatkowska-Cylke M., [w:] Lubasz D. (red.), RODO w e-commerce, Warszawa 2018.
Litwiński P., Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.
Nerka A., [w:] Sakowska-Baryła M. (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, C.H.Beck, Warszawa 2018.
Sibiga G., Nowelizacja Kodeksu postępowania administracyjnego z 21 lutego 2019 r. w zakresie ochrony danych osobowych, „Monitor Prawniczy” 2019, nr 11.
Sibiga G., Kryterium „zadania publicznego” w ustawie z 10 maja 2018 r. o ochronie danych osobowych oraz jego konsekwencje dla wykonywania obowiązków administratora oraz realizacji praw osoby, której dane dotyczą (dodatek „MoP” 22/2018), „Monitor Prawniczy” 2018, nr 22.
Sakowska-Baryła M., [w:] Jabłoński M., Sakowska-Baryła M., Wygoda K. (red.), Czy jesteśmy gotowi na stosowanie RODO? Wybrane zagadnienia z zakresu funkcjonowania administracji publicznej, Wrocław 2018.
Sagan-Jeżowska A., Realizacja uprawnień osób, których dane dotyczą, w sektorze publicznym – wybrane zagadnienia, „Informacja w Administracji Publicznej” 2019, nr 2.
Inne
Uzasadnienie do projektu ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. z 2019 r., poz. 730).
Orzecznictwo
Wyrok NSA z 13 października 2015 r., I OSK 301/14, CBOSA.
Wyrok NSA z 22 września 1998 r., I SA/Ka 2545/97, CBOSA.
Wyrok NSA z 19 grudnia 1997 r., I SA/Gd 1144/97, CBOSA.
[1] Dz.U. t.j. z 2020 r., poz. 256 ze zm.
[2] Dz.Urz. UE L 119 z 4 maja 2016 r., s. 1, ze zm.
[3] Zob. szerzej uzasadnienie do projektu ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[4] Zob. M. Sakowska-Baryła, Inspektor Ochrony Danych Osobowych a obowiązki administratora, [w:] M. Jabłoński, M. Sakowska-Baryła, K. Wygoda (red.), Czy jesteśmy gotowi na stosowanie RODO? Wybrane zagadnienia z zakresu funkcjonowania administracji publicznej, Wrocław 2018, s. 79–107.
[5] P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, s. 232–233.
[6] M. Sakowska-Baryła, K. Wygoda, Proces przetwarzania danych osobowych i jego legalizacja w sektorze publicznym, [w:] M. Jabłoński, M. Sakowska-Baryła, K. Wygoda (red.), op. cit., s. 79–107.
[7] D. Lubasz, G. Chomiczewski, Zgodność przetwarzania z prawem – art. 6 RODO, [w:] E. Bielan-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o przetwarzaniu danych. Komentarz, Warszawa 2018, s. 376.
[8] P. Litwiński, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018, s. 270.
[9] Ibidem, s. 271.
[10] Zob. szerzej M. Sakowska-Baryła, K. Wygoda, Proces przetwarzania danych osobowych i jego legalizacja…, s. 100.
[11] P. Litwiński, op. cit., s. 272.
[12] Ibidem, s 273.
[13] Ibidem, s. 274 oraz X. Konarski, Profilowanie danych osobowych na podstawie ogólnego rozporządzenia o ochronie danych osobowych – dotychczasowy i przyszły stan prawny w UE oraz w Polsce, „Monitor Prawniczy” 2016, nr 20, s. 51 i n.
[14] P. Fajgielski, Dostosowanie krajowych przepisów do wymogów ogólnego rozporządzenia o ochronie danych (dodatek „MoP” 22/2019), „Monitor Prawniczy” 2019, nr 22, s. 5–7.
[15] Niektóre uregulowania prawne mogą jednak wprost wskazywać na obowiązek informacyjny organu administracji publicznej – zob. np. art. 1a ustawy z 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz.U. t.j. z 2019 r., poz. 900, ze zm.).
[16] Dz.U. z 2019 r., poz. 869 ze zm.
[17] Dz.U. z 2020 r., poz. 27. Zob. szerzej uzasadnienie do projektu ustawy z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U z 2019 r., poz. 730).
[18] G. Sibiga, Nowelizacja Kodeksu postępowania administracyjnego z 21 lutego 2019 r. w zakresie ochrony danych osobowych, „Monitor Prawniczy” 2019, nr 11, s. 1.
[19] Zob. m.in. wyrok NSA z 13 października 2015 r., I OSK 301/14, CBOSA; wyrok NSA z 22 września 1998 r., I SA/Ka 2545/97, LEX nr 62184, a także wyrok NSA z 19 grudnia 1997 r., I SA/Gd 1144/97, POP 1998, nr 6, poz. 219.
[20] A. Dmochowska, Zasady dotyczące przetwarzania danych osobowych, [w:] A. Dmochowska, M. Zadrożny (red.), Unijna reforma ochrony danych osobowych. RODO w praktyce z uwzględnieniem: wytycznych GR Art. 29, ustawy o ochronie danych osobowych z 2018 r., Warszawa 2018, s. 99.
[21] Ibidem, s. 100.
[22] A. Nerka, Zasady dotyczące przetwarzania danych osobowych – art. 5 RODO, [w:] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, C.H.Beck, Warszawa 2018, s. 142.
[23] A. Dmochowska, op. cit., s. 101.
[24] A. Nerka, op. cit., s. 142.
[25] P. Fajgielski, Ogólne rozporządzenie o ochronie danych, s. 232–233.
[26] M. Błażejewski, Zasada prawidłowości, [w:] M. Błażejewski, J. Behr (red.), Środki prawne ochrony danych osobowych, E-Wydawnictwo. Prawnicza i Ekonomiczna Biblioteka Cyfrowa. Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego, Wrocław 2018, s. 85.
[27] Zob. art. 5 ust. 1 lit. d RODO w zw. z art. 77 i n. RODO.
[28] M. Sakowska-Baryła, Ogólne rozporządzenie o ochronie danych…, s. 217.
[29] Dz.U. t.j. z 2019 r., poz. 1781 ze zm.
[30] Por. art. 13 ust. 4 RODO. Zob. też G. Sibiga, Kryterium „zadania publicznego” w ustawie z 10 maja 2018 r. o ochronie danych osobowych oraz jego konsekwencje dla wykonywania obowiązków administratora oraz realizacji praw osoby, której dane dotyczą (dodatek „MoP” 22/2018), „Monitor Prawniczy” 2018, nr 22, s. 7–14 oraz A. Sagan-Jeżowska, Realizacja uprawnień osób, których dane dotyczą, w sektorze publicznym – wybrane zagadnienia, Realizacja uprawnień osób, których dane dotyczą, w sektorze publicznym – wybrane zagadnienia, „Informacja w administracji publicznej” 2019, nr 2, s. 29.
[31] P. Litwiński, op. cit., s. 275.
[32] P. Fajgielski, Ogólne rozporządzenie o ochronie danych…, s. 151.
[33] P. Drobek, Zasady dotyczące przetwarzania danych osobowych, [w:] E. Bielan-Jomaa, D. Lubasz (red.), op. cit., s. 334.
[34] M. Błażejewski, Zasada rozliczalności, [w:] M. Błażejewski, J. Behr (red.), Środki prawne ochrony danych…, s. 91–92 oraz D. Lubasz, M. Kwiatkowska-Cylke, Zasady przetwarzania danych osobowych, [w:] D. Lubasz (red.), RODO w e-commerce, Warszawa 2018, s. 64–66.
[35] Dz.U. t.j. z 2019 r., poz. 1480, ze zm.
[36] G. Sibiga, Nowelizacja Kodeksu postępowania administracyjnego…, s. 2.