Ponowne wykorzystywanie jest obszarem harmonizowanym przez prawo Unii Europejskiej. Przedmiotowa ustawa wdraża Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego[1]. Ustawa z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego[2] zastępuje Ustawę z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego[3], która z kolei implementowała dyrektywę 2003/98/WE[4] zmienioną dyrektywą 2013/37/UE[5]. Przyczyną formalną uchwalenia krajowej ustawy były zatem zmiany w prawie UE, które niosą ze sobą nowe zasady ponownego wykorzystywania informacji sektora publicznego (ISP) w całej Unii.

Cel i zakres stosowania nowych przepisów

Informacje sektora publicznego są ważnym materiałem wyjściowym dla dóbr, produktów i usług tworzonych w obrocie komercyjnym i niekomercyjnym, a podmioty publiczne wytwarzają, gromadzą lub przechowują ogromną ilość informacji i treści. Nowa ustawa określa zasady i tryb udostępniania i przekazywania informacji sektora publicznego w celu ponownego wykorzystywania oraz zasady otwartości danych, jak również podmioty, które udostępniają lub przekazują te informacje.

Z kolei przez pojęcie ponownego wykorzystywania rozumiemy wykorzystywanie przez użytkowników informacji sektora publicznego w jakimkolwiek celu, poza realizacją zadań publicznych przez podmioty do tego zobowiązane. Związane jest z tym przysługujące każdemu prawo do ponownego wykorzystywania ISP (prawo użytkownika), którego korelatem jest obowiązek podmiotów zobowiązanych dotyczący udostępniania (z własnej inicjatywy) lub przekazywania (na wniosek użytkownika) ISP do ponownego wykorzystywania. Podmioty zobowiązane wymieniono (wraz z wyjątkami) w art. 3 u.p.w., a są nimi głównie prawie wszystkie jednostki sektora finansów publicznych.

Przedmiotem obrotu są informacje sektora publicznego, zdefiniowane jako „każda treść lub jej część, niezależnie od sposobu utrwalenia, w szczególności w postaci papierowej, elektronicznej, dźwiękowej, wizualnej lub audiowizualnej, będąca w posiadaniu podmiotu zobowiązanego”. W ustawie wyodrębniono również szczególną kategorię ISP „otwartych danych”, tj. danych mających istotne znaczenie dla rozwoju ponownego wykorzystywania, ponieważ mają one być udostępniane (przekazywane) w postaci elektronicznej, kompletne, aktualne, w wersji źródłowej, w otwartym i niezastrzeżonym formacie przeznaczonym do odczytu maszynowego, a do tego ich ponowne wykorzystywanie ma być bezpłatne na tych samych zasadach dla każdego użytkownika, bez konieczności potwierdzania przez niego tożsamości. Jednym z głównych rozwiązań przewidzianych w ustawie jest aktywizujący otwieranie danych Program otwierania danych, a źródłem takich danych będzie Portal danych; oba prowadzone przez ministra właściwego do spraw informatyzacji (obecnie: Prezes Rady Ministrów).

Ochrona danych osobowych

W przepisach nowej ustawy znajduje się kilka rodzajów przepisów odnoszących się do ochrony danych osobowych, ponieważ ISP mogą stanowić dane osobowe lub je zawierać, a samo ponowne wykorzystywanie jest przetwarzaniem w rozumieniu art. 4 pkt 2 RODO[6]. Należy pamiętać – co tłumaczy motyw 154 RODO – że art. 86 RODO przewidujący „godzenie” (to reconcile) w prawie krajowym lub unijnym praw informacyjnych oraz prawa do ochrony danych osobowych w kształcie ustanowionym w RODO stosuje się także do relacji ponownego wykorzystywania ISP oraz ochrony danych osobowych.

Przepisy zawarte w u.p.w. odnoszące się do ochrony danych osobowych dotyczą:

  • relacji między przepisami (tj. przepisami o ochronie danych osobowych oraz przepisami przedmiotowej ustawy);
  • ograniczenia prawa do ponownego wykorzystywania ISP ze względu na ochronę danych osobowych;
  • warunków ponownego wykorzystywania ISP stanowiących lub zawierających dane osobowe.

W większości nowe przepisy nawiązują do dotychczasowych rozwiązań w tym zakresie zawartych w ustawie z 2016 r., ale w porównaniu z nimi dokonano pewnych modyfikacji, jak również zrezygnowano z niektórych elementów. Dlatego w dalszej części tekstu będę się odwoływał także do przepisów ustawy z 2016 r.

Relacja między przepisami

Zgodnie z art. 7 ust. 2 u.p.w. przepisy przedmiotowej ustawy nie naruszają przepisów o ochronie danych osobowych. Z jednej strony zasada ta potwierdza, że przetwarzanie ISP będących danymi osobowymi objęte jest zakresem stosowania przepisów o ochronie danych osobowych, w tym – pomimo niewymienienia wprost tego aktu – przepisami ogólnego rozporządzenia o ochronie danych. Przepisy RODO będą miały zastosowanie w pełnym zakresie i u.p.w. nie ogranicza tego w żadnym stopniu. Z drugiej strony tak generalnie sformułowana zasada nie może być traktowana jako wystarczające „pogodzenie” praw (prawa do ponownego wykorzystywania oraz prawa do ochrony danych osobowych), co przewiduje się w art. 86 RODO.

Ograniczenie ponownego wykorzystywania danych osobowych

W art. 6 ust. 2 u.p.w. wprowadza się daleko idące ograniczenie możliwości ponownego wykorzystywania ISP będących danymi osobowymi. Zgodnie z tym przepisem prawo do ponownego wykorzystywania ISP podlega ograniczeniu ze względu na prywatność osoby fizycznej, w tym ochronę danych osobowych, a ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym informacji o warunkach powierzenia i wykonywania funkcji, ani przypadku, gdy osoba fizyczna wyrazi zgodę na przetwarzanie jej danych osobowych w celu ponownego wykorzystywania.

Ochrona danych osobowych stanowi zatem element prywatności podlegający ochronie przed ponownym wykorzystywaniem, co stanowi novum w stosunku do ustawy z 2016 r., w której prywatność była jedynym wymienionym w tej sferze dobrem chronionym. Ze względu na wąsko wyznaczony wyjątek we wspomnianym przepisie może jednak dojść do znaczącego ograniczenia procesu przeznaczania danych osobowych do ponownego wykorzystywania.

Warunki ponownego wykorzystywania

Według art. 15 ust. 1 pkt 4 u.p.w. podmiot zobowiązany może określić warunki ponownego wykorzystywania informacji sektora publicznego stanowiących lub zawierających dane osobowe. Prawie wiernie powtórzono w tym zakresie rozwiązanie z ustawy z 2016 r. Chodzi w nim o to, że w ofercie ponownego wykorzystywania podmiot zobowiązany może określić warunki dotyczące ochrony danych osobowych podlegających takiemu wykorzystywaniu. W przypadku przyjęcia tej oferty przez użytkownika (poprzez oświadczenia lub czynność pobrania ISP) następuje zawarcie umowy o ponowne wykorzystywanie ISP między podmiotem zobowiązanym oraz użytkownikiem. Wówczas warunki ochrony danych osobowych stają się obowiązkami umownymi użytkownika, o ile wcześniej zostały zawarte w ofercie przez podmiot zobowiązany.

Rezygnacja z odniesienia do art. 13 ust. 3, art. 14 i art. 19 RODO

Natomiast w porównaniu z ustawą z 2016 r. w przepisach u.p.w. rezygnuje się ze szczegółowego odniesienia do praw osób, których dane dotyczą, i obowiązków administratorów określonych w art. 13 ust. 3, art. 14 i art. 19 RODO. Od momentu wejścia w życie nowej ustawy realizacja tych uprawnień i obowiązków będzie się odbywała wyłącznie na podstawie przepisów RODO. To o tyle istotne, że ustawa z 2016 r. przewidywała wyłączenie stosowania art. 13 ust. 3 oraz art. 14 ust. 1–4 RODO w przypadku ponownego wykorzystywania ISP, natomiast realizacja uprawnienia z art. 19 RODO następowała w ten sposób, że podmiot zobowiązany aktualizował dane odpowiednio na swojej stronie podmiotowej Biuletynu Informacji Publicznej, w centralnym repozytorium lub w inny sposób.

Dla użytkowników ISP kluczowy pozostawał art. 7 ust. 4 ustawy z 2016 r., zgodnie z którym:

„Do przetwarzania przez użytkownika, w celu ponownego wykorzystywania, danych osobowych:

  1. osób pełniących funkcje publiczne mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania tych funkcji,
  2. osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe,
  3. obejmujących nazwę (firmę), numer identyfikacji podatkowej (NIP) albo imię i nazwisko kontrahenta podmiotu zobowiązanego

– przepisów art. 14 ust. 1–4 RODO nie stosuje się”.

W nowej ustawie to zwolnienie nie występuje, co oznacza potrzebę wykonania wobec podmiotów danych, których dane osobowe się ponownie wykorzystuje, obowiązku informacyjnego na warunkach określonych w art. 14 RODO.

Z całością ustawy można zapoznać się tutaj.


[1] Dz. Urz. UE L 172 z 26.06.2019 r.

[2] Dz. U. z 2021 r., poz. 1641 (dalej: „u.p.w.”).

[3] Dz. U. z 2019 r., poz. 1446 (dalej: „ustawa z 2016 r.”).

[4] Dyrektywa 2003/98/WE Parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz. Urz. UE L 345 z 31.12.2003 r.).

[5] Dyrektywa 2013/37/UE Parlamentu Europejskiego i Rady z dnia 26 czerwca 2013 r. zmieniająca dyrektywę 2003/98/WE w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz. Urz. UE L 175/1).

[6] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).