RODO 15: dokumenty i załączniki do sprawy w praktyce prawnej

Artykuł 15 Ogólnego Rozporządzenia o Ochronie Danych (RODO) jest jednym z najczęściej wykorzystywanych instrumentów prawnych przez osoby fizyczne dążące do uzyskania informacji o tym, jak ich dane są przetwarzane. W praktyce procesowej, zarówno przed sądami powszechnymi, jak i organami administracji publicznej, instytucja ta zaczęła pełnić rolę swoistego narzędzia dowodowego. Strony postępowań coraz częściej składają wniosek o kopię danych na podstawie art. 15 RODO, próbując w ten sposób uzyskać dostęp do dokumentów i załączników, które mogą mieć kluczowe znaczenie dla rozstrzygnięcia ich sprawy. Pojawia się jednak zasadnicze pytanie: gdzie leży granica między prawem do ochrony danych osobowych a przepisami procedur sądowych i administracyjnych?

Istota art. 15 RODO – prawo dostępu i prawo do kopii danych

Artykuł 15 RODO przyznaje osobie, której dane dotyczą, prawo do uzyskania od administratora potwierdzenia, czy przetwarza on jej dane osobowe. Jeżeli taka sytuacja ma miejsce, osoba ta jest uprawniona do uzyskania dostępu do nich oraz do szeregu informacji określonych w tym przepisie (m.in. o celach przetwarzania, kategoriach danych, odbiorcach czy planowanym okresie przechowywania). Kluczowym elementem tego uprawnienia, budzącym najwięcej kontrowersji w praktyce sądowej, jest prawo do otrzymania kopii danych osobowych podlegających przetwarzaniu.

Przez długi czas w doktrynie i orzecznictwie trwał spór, czy „kopia danych” oznacza jedynie wyciąg z bazy danych (np. tabelę z zestawieniem informacji), czy też fizyczną kopię dokumentów, w których te dane się znajdują. Przełomem w tej kwestii stało się orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej (TSUE), w szczególności wyrok w sprawie C-487/21. Trybunał wskazał, że prawo do otrzymania kopii danych oznacza, iż osobie, której dane dotyczą, należy przekazać wierną i zrozumiałą kopię wszystkich tych danych. W określonych sytuacjach, gdy kontekst jest niezbędny do zrozumienia przetwarzanych informacji, oznacza to konieczność przekazania kopii całych dokumentów, ich fragmentów lub wyciągów z pism. TSUE podkreślił, że celem tego uprawnienia jest umożliwienie osobie fizycznej weryfikacji prawidłowości jej danych oraz zgodności ich przetwarzania z prawem, co wymaga pełnej transparentności ze strony administratora.

Wniosek o kopię danych a wgląd w akta sprawy

W praktyce prawnej kluczowe jest odróżnienie uprawnień wynikających z RODO od uprawnień procesowych przewidzianych w Kodeksie postępowania cywilnego (KPC), Kodeksie postępowania administracyjnego (KPA) czy Kodeksie postępowania karnego (KPK). Każda z tych procedur reguluje dostęp do akt sprawy w sposób autonomiczny.

  • Dostęp procesowy: Przysługuje stronom i uczestnikom postępowania na podstawie przepisów proceduralnych (np. art. 9 KPC lub art. 73 KPA). Obejmuje prawo do wglądu w pełne akta sprawy, sporządzania z nich odpisów, kopii lub fotokopii. Dostęp ten nie jest ograniczony jedynie do danych osobowych wnioskodawcy – strona ma prawo zapoznać się z całością materiału dowodowego, w tym z dokumentami dotyczącymi innych osób, o ile są one częścią akt sprawy.
  • Dostęp na podstawie RODO: Przysługuje każdemu, czyje dane są przetwarzane przez dany organ lub sąd (działający jako administrator). Zakres tego prawa jest ściśle ograniczony do danych osobowych wnioskodawcy. RODO nie służy do uzyskiwania dostępu do informacji o charakterze ogólnym, danych innych osób czy dokumentów strategicznych, które nie zawierają danych osobowych osoby wnioskującej.

Z tego względu wniosek oparty na art. 15 RODO nie może być traktowany jako uniwersalny substytut wglądu do akt sprawy. Jeżeli strona utraciła termin na wniesienie środka zaskarżenia lub nie posiada statusu strony w określonym postępowaniu administracyjnym, nie może za pomocą RODO obejść tych ograniczeń w celu uzyskania pełnego dostępu do dokumentacji procesowej. RODO chroni tożsamość i prywatność jednostki, a nie jej interesy procesowe jako takie, choć uzyskane dane mogą być później wykorzystane w sądzie.

Czy wniosek o kopię danych pozwala uzyskać całe dokumenty i załączniki?

Odpowiedź na to pytanie nie jest jednoznaczna i wymaga zbadania każdego przypadku indywidualnie. Zgodnie z wytycznymi TSUE, jeżeli dane osobowe wnioskodawcy są nierozerwalnie związane z treścią dokumentu, a ich wyodrębnienie (np. poprzez przedstawienie w formie tabeli) pozbawiłoby je kontekstu i uczyniło niezrozumiałymi, administrator ma obowiązek udostępnić kopię całego dokumentu lub jego odpowiedniej części.

W kontekście spraw sądowych i administracyjnych oznacza to, że:

  • Pisma procesowe i załączniki: Jeśli pismo procesowe (np. pozew, odpowiedź na pozew, opinia biegłego) zawiera dane osobowe wnioskodawcy, może on żądać kopii tych fragmentów dokumentu, które go dotyczą. Nie oznacza to jednak automatycznego prawa do otrzymania kopii całego pisma wraz ze wszystkimi załącznikami, jeśli załączniki te dotyczą innych kwestii lub innych osób.
  • Notatki urzędowe i protokoły: Osoba, której dane dotyczą, ma prawo uzyskać kopię protokołu z przesłuchania lub notatki służbowej, w której odnotowano jej wypowiedzi lub zachowanie. Dane innych uczestników (np. świadków) powinny zostać w takiej kopii zanonimizowane, chyba że zachodzą szczególne przesłanki prawne pozwalające na ich ujawnienie.
  • Korespondencja wewnętrzna: E-maile pomiędzy pracownikami urzędu lub firmy, w których omawiana jest sprawa danego klienta czy pracownika, stanowią jego dane osobowe. Wnioskodawca może żądać ich kopii, co często bywa kluczowym dowodem w sprawach z zakresu prawa pracy czy dóbr osobistych.

Obowiązek administratora i organu publicznego

Podmiot, do którego wpływa wniosek (niezależnie od tego, czy jest to organ administracji, sąd jako administrator systemów teleinformatycznych i akt, czy też prywatny przedsiębiorca), musi podjąć szereg kroków w celu prawidłowej realizacji żądania. Na administratorze spoczywa szczególny obowiązek ochrony praw i wolności osób trzecich.

Zgodnie z motywem 63 RODO, prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych osób, w tym na tajemnicę handlową lub własność intelektualną, a w szczególności na prawa autorskie chroniące oprogramowanie. W praktyce oznacza to konieczność przeprowadzenia tzw. testu proporcjonalności. Jeśli w dokumentach, o które wnioskuje osoba, znajdują się dane osobowe innych osób (np. ich adresy, numery PESEL, informacje o stanie majątkowym), administrator ma obowiązek dokonać ich anonimizacji (tzw. zaczernienia) przed przekazaniem kopii wnioskodawcy. Obowiązek ten wymaga skrupulatności, gdyż przypadkowe ujawnienie danych osób trzecich stanowi naruszenie bezpieczeństwa danych i może skutkować odpowiedzialnością odszkodowawczą.

Warto również wskazać na sytuację sądów powszechnych. Sąd jako organ wymiaru sprawiedliwości przetwarza dane osobowe w ramach sprawowania wymiaru sprawiedliwości. W tym zakresie stosowanie RODO podlega istotnym ograniczeniom (zgodnie z art. 55 ust. 3 RODO oraz przepisami krajowymi). Nadzór nad przetwarzaniem danych w ramach postępowań sądowych sprawują wyspecjalizowane organy wewnątrz struktury sądownictwa, a nie Prezes Urzędu Ochrony Danych Osobowych (PUODO). Ma to kluczowe znaczenie przy określaniu ścieżki odwoławczej w przypadku odmowy realizacji wniosku.

Procedura i termin realizacji żądania

Procedura obsługi wniosku z art. 15 RODO wymaga od administratora rygorystycznego przestrzegania terminów oraz dokładnej weryfikacji tożsamości wnioskodawcy. Uchybienie tym obowiązkom może skutkować odpowiedzialnością administracyjną i odszkodowawczą.

  1. Weryfikacja tożsamości: Przed udostępnieniem jakichkolwiek danych administrator musi upewnić się, że osoba składająca wniosek jest rzeczywiście tą, za którą się podaje. W przypadku wątpliwości administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jest to kluczowe, aby zapobiec wyciekowi danych do osób nieuprawnionych.
  2. Analiza zakresu wniosku: Należy ustalić, czy wnioskodawca żąda jedynie informacji o przetwarzaniu, czy również kopii danych, oraz jakich konkretnie dokumentów lub spraw dotyczy żądanie. Precyzyjne określenie żądania ułatwia i przyspiesza procedurę.
  3. Ocena wpływu na prawa innych osób: Identyfikacja danych osób trzecich w dokumentach i ich ewentualna anonimizacja. Administrator musi wyważyć interes wnioskodawcy oraz prawo do prywatności osób trzecich.
  4. Termin realizacji: Administrator ma obowiązek udzielić informacji bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. Termin ten może ulec przedłużeniu o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę wniosków. O każdym takim przedłużeniu administrator musi poinformować wnioskodawcę w ciągu miesiąca od otrzymania wniosku, podając przyczyny opóźnienia.

Najczęstsze błędy w praktyce prawnej

Zarówno wnioskodawcy, jak i administratorzy popełniają szereg błędów przy stosowaniu art. 15 RODO w kontekście dokumentacji spraw.

  • Błąd wnioskodawców: Nadużywanie prawa. Traktowanie wniosku o kopię danych jako darmowej metody na uzyskanie całych akt sprawy karnej czy cywilnej. Sądy i organy słusznie odmawiają udostępnienia dokumentów, które nie zawierają danych osobowych wnioskodawcy lub których ujawnienie naruszałoby tajemnicę śledztwa bądź prawa osób trzecich.
  • Błąd administratorów: Automatyczna odmowa. Część podmiotów odrzuca wnioski, twierdząc, że dokumenty stanowią tajemnicę przedsiębiorstwa lub są częścią wewnętrznych analiz. Każda odmowa musi być szczegółowo uzasadniona, a tajemnica przedsiębiorstwa rzadko kiedy uzasadnia całkowite utajnienie danych osobowych – zazwyczaj wystarczy selektywna anonimizacja.
  • Błąd proceduralny: Przekroczenie terminu. Ignorowanie wniosków RODO lub odkładanie ich na boczny tor w natłoku bieżących spraw sądowych czy biznesowych. Przekroczenie miesięcznego terminu bez formalnego powiadomienia o jego przedłużeniu stanowi bezpośrednie naruszenie przepisów RODO i otwiera drogę do skargi do organu nadzorczego (PUODO).

Praktyczny przykład zastosowania

Wyobraźmy sobie sytuację, w której były pracownik (Jan Kowalski) przygotowuje się do wytoczenia powództwa przeciwko pracodawcy o mobbing. Kluczowym dowodem w sprawie są wiadomości e-mail wymieniane pomiędzy jego bezpośrednim przełożonym a działem HR, w których Jan Kowalski był opisywany w sposób naruszający jego godność. Pracodawca odmawia dobrowolnego wydania tych wiadomości, twierdząc, że stanowią one tajemnicę korespondencji firmy.

Jan Kowalski składa do byłego pracodawcy wniosek na podstawie art. 15 RODO, żądając dostępu do swoich danych osobowych przetwarzanych w systemie poczty elektronicznej, w szczególności w e-mailach wymienianych pomiędzy przełożonym a HR w konkretnym przedziale czasowym, zawierających jego imię i nazwisko. Wskazuje, że bez dostępu do pełnej treści tych wiadomości nie jest w stanie zrozumieć kontekstu i zweryfikować, czy jego dane są przetwarzane rzetelnie.

Pracodawca, jako administrator, ma obowiązek zidentyfikować te wiadomości. Ponieważ treść e-maili stanowi kontekst niezbędny do zrozumienia przetwarzanych danych (samego faktu, że Jan Kowalski był tam wymieniany), pracodawca musi przekazać kopie tych wiadomości. Musi jednak uprzednio zanonimizować dane innych pracowników, którzy nie są stroną sporu, a których dane mogły się tam pojawić (np. innych pracowników działu HR, o ile ich tożsamość nie jest istotna dla sprawy lub nie wyrazili zgody). Uzyskane w ten sposób kopie e-maili Jan Kowalski może legalnie przedstawić w sądzie pracy jako dowód w sprawie o mobbing, co znacznie wzmacnia jego pozycję procesową.

Podsumowanie i wskazówki dla praktyków

Artykuł 15 RODO stanowi niezwykle cenne narzędzie wspierające proces gromadzenia dowodów, pod warunkiem, że jest stosowane z pełną świadomością jego ograniczeń. Prawnicy reprezentujący strony powinni precyzyjnie formułować wnioski, wskazując konkretne kategorie danych oraz kontekst dokumentów, których żądają. Z kolei administratorzy muszą pamiętać, że odmowa realizacji prawa dostępu powinna być wyjątkiem, a nie regułą, i zawsze wymaga solidnego, zindywidualizowanego uzasadnienia prawnego. Przestrzeganie procedur oraz ustawowych terminów pozwala uniknąć dotkliwych kar nakładanych przez organ nadzorczy oraz zarzutów o naruszenie dóbr osobistych. Ostatecznie, harmonijne współistnienie prawa do ochrony danych oraz procedur sądowych wymaga od obu stron profesjonalizmu i rzetelnej oceny prawnej każdego przypadku.