Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/W ( dalej jako RODO ) gwarantuje podmiotom danych szereg praw. Jednym z podstawowych praw jest realizacja względem podmiotu danych obowiązku informacyjnego. Podmiot danych ma prawo wiedzieć kto w jakim celu i na jakiej podstawie przetwarza jego dane osobowe. Co więcej, jeżeli zmienił się cel przetwarzania to podmiot danych powinien zostać o tym automatycznie poinformowany.
Projektodawca unijny przewidział jednak wyjątki od powyższych wymogów, kierując się zasadą racjonalności i efektywności ochrony danych osobowych. Przykładem jest art. 23 RODO, który wskazuje, iż prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12-22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12-22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym ( m.in.):
- bezpieczeństwu narodowemu;
- obronie;
- bezpieczeństwu publicznemu;
Na podstawie powyższej delegacji z RODO polski ustawodawca wprowadził do ustawy o ochronie danych osobowych art. 3, zgodnie z którym Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
- uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
- naruszy ochronę informacji niejawnych.
W takim przypadku administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
Celem zachowania wymaganego minimalnego standardu ochrony Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679.
Zdaniem autora, powyższe jest racjonalną regulacją. Pozostaje żałować, iż tylko sfera publiczna doczekała się realnych i racjonalnych limitacji obowiązków z RODO, a sfera prywatna się tego nie doczekała.