Odpowiadając na tytułowe pytanie Generalny Inspektor Ochrony Danych Osobowych wskazał, że przetwarzanie danych osobowych w każdym przypadku powinno się odbywać z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa, w tym przepisów ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych. Jeśli natomiast istnieją szczególne przepisy, to stosuje się je w pierwszej kolejności.
Dopiero w sytuacji braku tych przepisów, zastosowanie znajduje ogólna regulacja wynikająca z ustawy o ochronie danych osobowych.
Generalny Inspektor pomocniczo wskazuje, iż zgodnie z art. 18a ust. 1 ustawy z dnia z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2001 r. Nr 142, poz. 1591 z późn. zm.), rada gminy kontroluje działalność wójta, gminnych jednostek organizacyjnych oraz jednostek pomocniczych gminy i w tym celu powołuje komisję rewizyjną. Ponadto komisja rewizyjna wykonuje inne zadania zlecone przez radę w zakresie kontroli (art. 18a ust. 4 zd. 1 ustawy o samorządzie gminnym). Zasady i tryb działania komisji rewizyjnej określa statut gminy (art. 18a ust. 5 ustawy o samorządzie gminnym).
Jakkolwiek wyżej wymienione przepisy ustawy o samorządzie gminnym stwarzają podstawy do utworzenia w gminie komisji rewizyjnej, to - jak zauważył Generalny Inspektor - przepisy te nie określają wprost, do jakich dokumentów i informacji (danych osobowych) mogą mieć dostęp członkowie komisji rewizyjnej przeprowadzający kontrolę, odsyłając w tym zakresie do statutu gminy, w którym powinny być uregulowane zasady i tryb działania komisji rewizyjnej rady gminy.
Generalny Inspektor wysnuł jednak wniosek, że ewentualny dostęp do danych osób korzystających ze świadczeń z zakresu pomocy społecznej może mieć komisja rewizyjna w ramach przeprowadzanej kontroli, w której zakres będzie wchodziło uprawnienie do zapoznania się z danym dokumentem. Przypomniał również, że ustawa o ochronie danych osobowych – jako, że w żadnym jej przepisie ustawodawca nie reguluje zasad posługiwania się dokumentami - nie ma zastosowania do udostępniania dokumentów, a jedynie do wykonywania operacji na danych osobowych. Stanowisko takie zajął Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 10 października 2005 r. wydanym w sprawie o sygnaturze akt: II SA/Wa 825/2005, orzekając, że w ustawie o ochronie danych osobowych brak jest przepisów obligujących administratora do udostępnienia dokumentów zawierających dane osobowe.
Ustawodawca posługuje się pojęciem „udostępnienia", odnosząc je zawsze do danych osobowych, a nie do zawierających je dokumentów. Wskazał jednocześnie, iż dane osób korzystających ze świadczeń z zakresu pomocy społecznej stanowią dane szczególnie chronione, które ustawa o ochronie danych osobowych zabrania - co do zasady - przetwarzać (art. 27 ust. 1 ustawy o ochronie danych osobowych). Dane szczególnie chronione mogą być przetwarzane po spełnieniu jednej z przesłanek legalizujących ten proces, określonej w art. 27 ust. 2 pkt 1 - pkt 10 ustawy o ochronie danych osobowych. Przesłanki te mają charakter autonomiczny i rozłączny. Spełnienie jednej z nich wystarczy dla uznania legalności przetwarzania danych osobowych.
Generalny Inspektor przypomniał również, że ostateczne rozstrzygnięcie w przedmiocie, czy udostępnić posiadane dane osobowe w zakresie żądanym przez występującego o to potencjalnego odbiorcę danych, należy do administratora danych.
Dokonując takiego rozstrzygnięcia administrator powinien uwzględnić obowiązki, jakie w zakresie przetwarzania danych nakładają na niego przepisy o ochronie danych osobowych. Ich naruszenie może narazić administratora danych zarówno na odpowiedzialność administracyjną przed Generalnym Inspektorem Ochrony Danych Osobowych, jak i karną wynikającą z przepisów ustawy o ochronie danych osobowych.
Źródło: "Sprawozdaniu z działalności GIODO w 2012 roku", GIODO, 2013
