Povinný subjekt nesmí porušit právní předpisy upravující ochranu osobních údajů (tedy zejm. OZ a ZOOÚ). Jsou-li v požadované informaci (spisu) nějaké takové údaje, v zásadě by je měl odstranit vždy. Lze si ale představit situaci, kdy o informaci žádá někdo, kdo takovými informacemi zjevně již disponuje, případně disponuje nějakým jiným titulem pro přístup k nim, než jen svobodným přístupem k informacím (např. má jako účastník právo nahlížet do spisu). Nebo je dokonce žadatel a subjekt oněch chráněných údajů táž osoba. Pak by poskytnutí neanonymizované informace nejspíš nebylo porušením předmětných ochranných norem.
Problém je ale v tom, že PS by měl poskytnutou informaci zveřejnit (srov. § 5(3) InfZ), takže zde by musel anonymizovat tak jako tak. Tahle povinnost je ale prakticky nesancionovatelná a nevynutitelná, takže na to PS zhusta kašlou. Dále je problém v neformálním postupu při poskytování informací, v žádosti sice musí být uvedeno, kdo ji podal, ale nevyžadují se standardní formality (vlastnoruční/elektronický podpis), takže PS nemá jak ověřit, komu fakticky ony chráněné údaje poskytuje.
Následky porušení ochrany osobních údajů mohou být dvojí, jednak může PS dostat sankci od ÚOOÚ, jednak se může ten, do jehož soukromí bylo neoprávněně zasaženo, domáhat ochrany či nějaké reparace v občanskoprávním řízení.
Tolik teorie. Osobně bych v případě přístupu ke spisu přes InfZ byl rád, že vůběc něco přišlo, a rozhodně bych úřad neprudil kvůli tomu, že něco neanonymizovali. Bude to mít jediný výsledek - už nikdy nic nepošlou, a dokud se nepovede prolomit zmatenou judikaturu NSS (nebo se nezmění InfZ či SprŘ, což patrně bude dřív), tak je k tomu nikdo nedonutí.