RODO a projekt budowlany
W związku ze znajdującym zastosowanie od dnia 25 maja 2018 r. Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.U.UE.L.2016.119.1, dalej: RODO) powstało bardzo wiele wątpliwości związanych m.in. z wykorzystywaniem dokumentacji projektowej, w której treści znajdują się również dane osobowe. W szczególności mowa tutaj o projekcie budowlanym.
Przetwarzanie danych osobowych
W pierwszej kolejności omówmy specyfikę regulacji, której praktyka stosowania zaczyna się dopiero w Polsce kształtować. Stosownie do treści art. 4 pkt 1 RODO, pod pojęciem danych osobowych należy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (czyli osobie, której dane dotyczą). W treści przywołanego przepisu wskazano, że możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Natomiast zgodnie z treścią art. 4 pkt 2 RODO jako przetwarzanie danych osobowych należy rozumieć operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Podkreślenia wymaga, że przepis art. 4 pkt 2 RODO definiuje pojęcie przetwarzania w sposób znacznie szerszy, niż przetwarzanie w rozumieniu potocznym. W potocznym rozumieniu przetwarzanie uznawane jest za synonim przerabiania, zmieniania czy też przekształcania, a więc wiąże się z dokonaniem modyfikacji danych. W tym znaczeniu czynności, które nie prowadzą do zmiany danych (np. gromadzenie, przechowywanie), nie są uznawane za ich przetwarzanie. Podobnie w przypadku przetwarzania danych np. w bazie danych, za przetwarzanie uznaje się zazwyczaj dokonywanie operacji na danych już do bazy wprowadzonych, natomiast procesy gromadzenia danych, wprowadzania ich do bazy czy przechowywania danych nie są powszechnie traktowane za przetwarzanie danych. Prawodawca odmiennie ujmuje te kwestie, nakazując uznanie za przetwarzanie różnych operacji na danych osobowych, niezależnie od tego, czy prowadzą one do modyfikacji treści danych, czy też nie. Podkreśla się, że prawodawca miał na celu to, aby pojęciem przetwarzania objąć wszelkie operacje na danych, co ma umożliwić zapewnienie ochrony w odniesieniu do różnorodnych działań, począwszy od gromadzenia danych poprzez rozmaite czynności, których przedmiotem są dane osobowe, a na ich usuwaniu skończywszy. W piśmiennictwie wskazuje się, że takie podejście prawodawcy motywowane jest praktycznymi doświadczeniami, z których wynika, że niektóre operacje, które potocznie nie są uznawane za przetwarzanie (np. przechowywanie danych), pociągają za sobą poważne ryzyko dla bezpieczeństwa danych1).
Podkreślmy, że zgodnie ze zdaniem 2 motywu 4 preambuły RODO, prawo do ochrony danych osobowych nie jest prawem bezwzględnym – należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Oznacza to, że w pewnych określonych przypadkach prawo do ochrony danych osobowych może podlegać ograniczeniu bądź wyłączeniu ze względu na inny, istotny cel społeczny.
Projekt budowlany
Projekt budowlany, którego treść określa art. 34 ust. 3 pkt 1 ustawy z dnia 7 lipca 1994 r. Prawo budowlane (t.j. Dz.U. z 2018 r., poz. 1202, dalej: Prawo budowlane), obejmuje projekt zagospodarowania działki lub terenu, w szczególności określenie granic działki lub terenu danej inwestycji. Stosownie do art. 34 ust. 4 Prawa budowlanego projekt budowlany, którego częścią jest projekt zagospodarowania działki lub terenu, podlega zatwierdzeniu w decyzji o pozwoleniu na budowę, stając się tym samym częścią rozstrzygnięcia w sprawie pozwolenia na budowę.
Szczegółową treść i wymogi formalne dotyczące projektu budowlanego określa Rozporządzenie Ministra Transportu, Budownictwa i Gospodarki Morskiej z dnia 25 kwietnia 2012 r. w sprawie szczegółowego zakresu i formy projektu budowlanego (t.j. Dz.U. z 2012 r., poz. 462).
W nawiązaniu do powyższego przyjrzyjmy się art. 86 RODO. Zgodnie z tym przepisem dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlega ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia.
W zgodzie z powyższym przepisem, prawodawca unijny potwierdza możliwość ujawniania (udostępniania) danych osobowych zawartych w dokumentach urzędowych w oparciu o przepisy unijne lub przepisy obowiązujące w krajach członkowskich2). W prawie polskim te kwestie zostały szczegółowo uregulowane w ustawie z dnia 6 września 2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2018 r., poz. 1330, dalej: Udip).
Nadmienić w tym miejscu należy, że projekt budowlany zatwierdzony decyzją starosty stanowi informację publiczną w rozumieniu Udip i podlega udostępnieniu na wniosek. W ten sposób orzekł Wojewódzki Sąd Administracyjny w wyroku z dnia 6 sierpnia 2018 r. (sygn. akt: II SAB/Kr 97/13). W przywołanym orzeczeniu wskazano m.in., że nie budzi wątpliwości, iż decyzja o pozwoleniu na budowę, wydawana przez organ architektoniczno-budowlany, stanowi informację publiczną w rozumieniu art. 1 ust. 1 i art. 6 Udip oraz, że decyzje rozstrzygają sprawy administracyjne i jako akty administracyjne indywidualne stanowią dokumenty urzędowe w rozumieniu art. 6 ust. 1 pkt 4 lit. a Udip. Stosownie do art. 34 ust. 4 i 5 Prawa budowlanego projekt budowlany podlega zatwierdzeniu w decyzji o pozwoleniu na budowę lub w odrębnej decyzji, poprzedzającej wydanie decyzji o pozwoleniu na budowę. W ocenie Wojewódzkiego Sądu Administracyjnego w Krakowie nie ulega zatem wątpliwości, że projekt ten stanowi integralną część rozstrzygnięcia administracyjnego. To zaś prowadzi do wniosku, że informacją publiczną jest nie tylko sama decyzja zatwierdzająca projekt budowlany i udzielająca pozwolenia na budowę, lecz także zatwierdzony projekt budowlany, który podlega udostępnieniu na zasadach i w trybie Udip. Zresztą, stanowisko, zgodnie z którym projekt architektoniczno-budowlany stanowiący element decyzji o pozwoleniu na budowę stanowi informację publiczną jest w orzecznictwie ugruntowane (por. wyrok Naczelnego Sądu Administracyjnego z dnia 12 kwietnia 2017 r., sygn. akt: I OSK 1856/15).
Projekt budowlany a przetwarzanie danych osobowych
Nie ulega wątpliwości, że w związku z tworzeniem i wykorzystywaniem projektu budowlanego dochodzi do przetwarzania danych osobowych w rozumieniu przepisów RODO. Kwestią natomiast wymagającą omówienia jest wskazanie podstawy prawnej przetwarzania danych osobowych w wypadku projektu budowlanego.
Stosownie do art. 6 ust. 1 RODO, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
■ osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów
■ przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy
■ przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
■ przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej
■ przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
■ przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W zgodzie natomiast z artykułem 6 ust. 2 RODO, państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w art. 6 ust. 1 lit. c i e. W tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX RODO. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c i e, musi być określona:
■ w prawie Unii lub
■ w prawie państwa członkowskiego, któremu podlega administrator (art. 6 ust. 3 RODO).
W tym miejscu należy przede wszystkim skupić się na przesłance wskazanej w art. 6 ust. 1 lit. e RODO.
W odniesieniu do powyższej przesłanki przedstawiciele doktryny prawniczej wskazują, że przepisy RODO wymagają, dla realizacji komentowanej przesłanki, podstawy prawnej określonej w prawie Unii Europejskiej lub prawie państwa członkowskiego, któremu podlega administrator (art. 6 ust. 3, motyw 45). W piśmiennictwie nadto wskazuje się, że należy tutaj uwzględnić także art. 31 ust. 3 Konstytucji RP, stanowiący, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej albo wolności i praw innych osób, a ponadto nie mogą naruszać istoty wolności i praw3).
Rozwinięciem powyższego jest wskazany już wyżej art. 86 RODO, który odsyła, w wypadku prawa polskiego, do przepisów Udip w tym zakresie.
Informacja publiczna a ochrona danych osobowych
Omówienia wymaga kwestia stanowiska orzecznictwa oraz przedstawicieli doktryny prawniczej w zakresie ochrony danych osobowych oraz dostępu do informacji publicznej. W tym miejscu należy zaznaczyć, że wskazane niżej orzecznictwo i poglądy doktryny opierają się przede wszystkim o przepisy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, jednakże zachowują one aktualność w odniesieniu do obecnego stanu prawnego.
Przepis art. 6 ust. 1 pkt 4 lit. a Udip przewiduje udostępnienie danych publicznych, w tym treści i postaci dokumentów urzędowych. W prawie krajowym decyzje administracyjne i inne dokumenty zawarte w aktach administracyjnych stanowią informacje publiczne, które podlegają udostępnieniu w całości lub w części jedynie do granic kolizji z przepisami, które zawierają wyłączenie dostępności albo nie podlegają udostępnieniu właśnie z tych powodów, przy czym wyraźne wskazówki ograniczające można znaleźć w treści art. 5 ust. 1 i 2 Udip4).
Powyższą kwestię rozwinął w jednym ze swoich orzeczeń Wojewódzki Sąd Administracyjny w Gliwicach. W wyroku z dnia 15 listopada 2004 r. (sygn. akt: IV SA/GI 664/04), w odniesieniu do badanego przez WSA w Gliwicach stanu faktycznego wskazano, że decyzje administracyjne stanowią informacje publiczne, które podlegają udostępnieniu w całości lub części jedynie do granic kolizji z przepisami zawierającymi wyłączenie ich dostępności, albo nie podlegają udostępnieniu z tych właśnie powodów (decyzja odmowna dotyczy tylko informacji publicznej), przy czym wyraźne wskazówki ograniczające znaleźć można w treści art. 5 ust.1 i 2 oraz art. 22 ust. 1 Udip. Sąd podkreślił, że rzeczą organu orzekającego było ustalenie tychże granic kolizji i wydanie rozstrzygnięcia stosownego do tych ustaleń. Wyżej wskazany Sąd wskazał, że wydaje się, iż ochrona prywatności i danych osobowych w zakresie decyzji administracyjnych obejmuje zatarcie takich informacji, które ich bezpośrednio dotyczą. W takiej sytuacji organ winien rozważyć czy taka operacja nie przekreśla istoty żądania i ewentualnie odmówić wnioskowi z tego powodu. W wypadku bowiem uwzględnienia żądania byłoby tym bardziej proste dla realizacji, gdy zważyć, iż wnioskodawca domagał się udostępnienia informacji w siedzibie właściwego urzędu. Sąd wskazał, że ochronie podlegają inne jeszcze podmioty, których udział w sprawie administracyjnej był konieczny, a więc na przykład projektant sporządzający projekt budowlany, będący integralną częścią pozwolenia na budowę.
Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 19 grudnia 2017 r., sygn. akt: I OSK 1003/17, konkretne dokumenty znajdujące się w aktach spraw administracyjnych, o ile zawierają informacje publiczne, podlegają udostępnieniu – z wyjątkiem części podlegających wyłączeniom wynikającym z ochrony danych osobowych czy objętych tajemnicą ustawowo chronioną. Projekty budowlane, które są poddawane analizie i zatwierdzaniu w toku postępowania administracyjnego, a następnie podlegają zatwierdzeniu w decyzjach administracyjnych organów architektoniczno-budowlanych i stanowią część decyzji administracyjnej, są dokumentami zawierającymi informację publiczną.
Udostępnienie danych osobowych
Powyższe rozważania dotyczyły przetwarzania danych osobowych w związku z wykonywaniem funkcji publicznych, w szczególności udostępnia danych osobowych w związku z Udip. Jednakże rozważenia jeszcze wymaga kwestia przekazywania danych osobowych wskazanych w projekcie budowlanym pomiędzy podmiotami, które nie wykonują funkcji publicznych.
W związku z powyższym rozróżnienia wymagają dwie sytuacje przekazywania danych osobowych. Pierwszy przypadek dotyczy powierzenia przetwarzania danych osobowych. W takiej sytuacji administrator danych osobowych powierza drugiemu podmiotowi przetwarzanie danych osobowych w swoim imieniu. Klasycznym przykładem powierzenia przetwarzania danych osobowych są wszelkie rodzaju usługi o charakterze outsourcingowym, np. korzystanie przez pracodawcę z usług profesjonalnego biura rachunkowego w kwestii dokonywania rozliczeń. Powierzenie przetwarzania danych osobowych wymaga zawarcia stosownej umowy, zgodnie z art. 28 RODO.
Z kolei czym innym jest udostępnienie przetwarzania danych osobowych, z którym mamy do czynienia w przypadku dostępu do danych osobowych zawartych w projekcie budowlanym przez innych uczestników procesu budowlanego. W takiej sytuacji dochodzi do przekazania danych osobowych przez jednego administratora danych osobowych na rzecz drugiego, który przetwarza dane osobowe w swoim własnym celu. Przepisy RODO wskazują, że udostępnienie danych osobowych może nastąpić w 3 przypadkach:
■ z uwzględnieniem przepisów prawa, np. gdy policja zgłasza wniosek o udostępnienie danych
■ w sytuacjach, gdy jest ono niezbędne do realizacji prawnie uzasadnionych celów administratora
■ za wyraźną zgodą podmiotu, którego dane dotyczą.
Zakończenie
Problematyka ochrony danych osobowych, przede wszystkim z powodu de facto braku dotychczasowej świadomości prawnej i rozbudowanego orzecznictwa w tym zakresie, wymaga jeszcze ukształtowania. Należy mieć nadzieję, że nie tylko w kwestii przetwarzania danych osobowych w związku z projektem budowlanym, ale w ogóle w zakresie przetwarzania danych osobowych, praktyka orzecznicza udzieli odpowiedzi na wiele pytań, jakie pojawiają się w związku z przetwarzaniem danych osobowych.
radca prawny Kamil Stolarski
doktorant na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego
1) Fajgielski P., Komentarz do art. 4 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych, Ustawa o ochronie danych osobowych. Komentarz, WKP, 2018.
2) Fajgielski P., Komentarz do art. 86 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] op. cit.
3) Lubasz D., Komentarz do art. 6 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] op. cit.
4) Kamińska I., Rozbicka-Ostrowska M., Komentarz do art.6 ustawy o dostępie do informacji publicznej [w:] Ustawa o dostępie do informacji publicznej. Komentarz, WK, 2016.