Wydawałoby się, że spełnianie obowiązku informacyjnego jest obecne jednym z głównych zajęć administratorów. Brak takiego działania może doprowadzić do nałożenia administracyjnej kary pieniężnej. Przykładu takiej kary nie trzeba daleko szukać – jest nim pierwsza w Polsce administracyjna kara pieniężna nałożona przez Prezesa UODO.
W związku z „doniosłością” rangi obowiązku informacyjnego, zbudowanej przez krajowy organ nadzorczy, warto poszukać odpowiedzi na zadane w tytule pytanie. W tym celu należy sięgnąć do przepisów ustawy z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego. Wdraża ona postanowienia dyrektywy 2003/98/WE Parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz. Urz. UE L 345 z 31.12.2003, str. 90) zmienionej dyrektywą 2013/37/UE Parlamentu Europejskiego i Rady z dnia 26 czerwca 2013 r. zmieniającą dyrektywę 2003/98/WE w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz. Urz. UE L 175/1), która utraci swoją moc 17 lipca 2021 r. Stanie się tak na skutek uchwalonej w czerwcu 2019 r. dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego.
Nowa dyrektywa była potrzeba by w „pełni wykorzystać potencjał informacji sektora publicznego dla europejskiej gospodarki i europejskiego społeczeństwa, powinny koncentrować się na następujących obszarach: zapewnienie dostępu w czasie rzeczywistym do danych dynamicznych za pośrednictwem odpowiednich środków technicznych, zwiększenie podaży wartościowych danych publicznych do ponownego wykorzystywania, w tym danych pochodzących z przedsiębiorstw publicznych, organizacji prowadzących badania naukowe i organizacji finansujących badania naukowe (motyw 4 dyrektywy 2019/1024)”.
Motywacją do stworzenia nowej wersji tego aktu prawnego było też „ zaradzenie pojawianiu się nowych form uzgodnień dotyczących wyłączności, stosowanie wyjątków od zasady pobierania opłat odzwierciedlających koszt krańcowy oraz zależność między niniejszą dyrektywą a niektórymi powiązanymi instrumentami prawnymi, w tym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (5) oraz dyrektywami Parlamentu Europejskiego i Rady 96/9/WE (6), 2003/4/WE (7) i 2007/2/WE (8) (motyw 4 dyrektywy 2019/1024)”. Widać, że nawet ustawodawca europejski dostrzega, że coraz więcej uregulowań wprowadza ograniczenia dotyczące ponownego wykorzystania informacji sektora publicznego.
Przechodząc już do tytułowej ustawy z 2016 r. o ponownym wykorzystaniu informacji sektora publicznego należy wskazać na niedawno dokonaną nowelizacje jej przepisów. Nowelizacji tej dokonano ustawą zmieniającą ponad 162 ustaw, a więc ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Artykuł 142 ustawy z lutego 2019 r. wprowadził zmiany w ustępie 4 art. 7 ustawy o ponownym wykorzystaniu informacji sektora publicznego:
Teraz trzeba rozszyfrować pojęcie „użytkownika”, a jest nim zgodnie z art. 2 ust. 2 wskazanej ustawy osoba fizyczna, osoba prawna i jednostki organizacyjnej nieposiadające osobowości prawnej:
Powyższy przepis wskazuje także cele wykorzystania informacji sektora publicznego tj. komercyjny lub niekomercyjny. Odnajdujemy w nim definicje ponownego wykorzystania informacji sektora publicznego, czyli działanie polegające na wykorzystaniu informacji w celach innych niż ten, w którym zostały one przez organ publiczny zebrane czy wytworzone.
Tutaj należy wskazać ten sam art. 2 omawianej ustawy, ale jego pierwszy ustęp:
No i tym tropem przechodzimy do art. 3 omawianej ustawy, który wskazuje katalog podmiotów zobowiązanych do udostępnienia lub przekazywania informacji sektora publicznego:
Widać, że zakres podmiotów zobowiązanych jest bardzo szeroki. Można by się zastanowić, czy w powyższym katalogu nie znajdują się jednostki sektora finansów publicznych takie jak Ministerstwa?
Jeżeli tak to należy się zastanowić czy informacjami sektora publicznego nie będą dane znajdujące się np. w CEIDG?
Wiemy, że zgodnie z art. 2 ust. 1 ustawy z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy: „Centralną Ewidencję i Informację o Działalności Gospodarczej, zwaną dalej „CEIDG”, prowadzi w systemie teleinformatycznym minister właściwy do spraw gospodarki”.
I jeżeli przyjmiemy, że Ministerstwo Przedsiębiorczości i Technologii (obecnie właściwe do spraw gospodarki) jest jednostką sektora finansów publicznych (art. 3 ust. 1 omawianej ustawy) i w jej posiadaniu są informacje sektora publicznego w postaci danych jednoosobowych działalności gospodarczych to możemy odpowiedzieć twierdząco na powyższe pytanie.
W takim stanie rzeczy, zgodnie z art. 7 ust. 4 ustawy z 2016 r., użytkownik będący osobą fizyczną, osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej wykorzystując informacje sektora publicznego w celach komercyjnych nie spełnia pośredniego obowiązku informacyjnego (art. 14 ust. 1 i ust. 2 RODO) wobec:
- osób pełniących funkcje publiczne mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania tych funkcji,
- osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe,
- obejmujących nazwę (firmę), numer identyfikacji podatkowej (NIP) albo imię i nazwisko kontrahenta podmiotu zobowiązanego
Czyżby taki zakres danych osobowych i cel przetwarzania danych nie przypomina, wspomnianej na samym początku wpisu, sprawy nałożenia pierwszej administracyjnej kary pieniężnej?
