W związku z licznymi wnioskami o dostęp do informacji publicznej wystosowałem zapytanie do Prezesa Urzędu Ochrony Danych Osobowych o granicę bezpieczeństwa informacji podczas ujawniania danych na wniosek. Poniżej odpowiedź :
Warszawa, 13 października 2022 r.
Szanowny Panie Inspektorze,
w odpowiedzi na pismo z 25 września br. uprzejmie informuję, że o udostępnieniu informacji lub o odmowie ich udostępnienia na podstawie wniosku o dostęp do informacji publicznej w określonym stanie faktycznym i prawnym, rozstrzyga dysponent informacji publicznej.
W razie odmowy udostępnienia informacji wnioskodawca może się zwrócić ze skargą do sądu administracyjnego (art. 21 ustawy o dostępie do informacji publicznej).
Prezes Urzędu Ochrony Danych Osobowych sam jest dysponentem informacji publicznej, natomiast w sprawach, gdzie dysponentami takiej informacji są inne podmioty, Prezes UODO mógłby rozstrzygać władczo jedynie po przeprowadzeniu postępowania administracyjnego w danej sprawie, czyli np. w sytuacji, gdyby osoba, której dane zostały udostępnione w trybie ustawy o dostępie do informacji publicznej wniosła do Prezesa UODO skargę.
Wobec powyższego jedynie pomocniczo przekazuję informacje, które mogą być pomocne w rozstrzygnięciu przedstawionych przez Pana wątpliwości.
Na wstępie należy zwrócić uwagę na brzmienie art. 2 ustawy o dostępie do informacji publicznej, zgodnie z którym każdemu przysługuje, z zastrzeżeniem art. 5, prawo dostępu do informacji publicznej oraz, że od osoby wykonującej prawo do informacji publicznej nie wolno żądać wykazania interesu prawnego lub faktycznego. Jak wskazuje się w doktrynie, gdy żądana informacja nie jest informacją przetworzoną i jej udzielenie nie naraża na ujawnienie żadnych tajemnic ustawowo chronionych, podmiot zobowiązany powinien jej niezwłocznie udzielić, nie starając się ustalić, dla kogo w istocie jest przeznaczona (Kamińska Irena, Rozbicka-Ostrowska Mirosława, Ustawa o dostępie do informacji publicznej. Komentarz, wyd. III (lex on line)).
Rozpatrując wniosek o dostęp do informacji publicznej, należy jednak zachować ostrożność i starannie ocenić, w określonym stanie faktycznym i prawnym, czy dane informacje są informacją publiczną w rozumieniu art. 1 i art. 6 ustawy o dostępie do informacji publicznej oraz czy nie mamy do czynienia z wskazanymi w tej ustawie ograniczeniami (art. 5). W szczególności należy ocenić czy udostępnienie określonej informacji nie spowoduje naruszenia prywatności osób fizycznych.
Przede wszystkim trzeba dokonać analizy, o jakie informacje prosi wnioskodawca oraz jakie informacje zwierają wnioskowane dokumenty.
Pomocne w ocenie wniosku może być orzecznictwo dotyczące prawa do informacji publicznej. Nie zawsze jest jednolite i zdarza się, że sądy prezentują odmienne poglądy.
Stanowi ono jednak dla dysponentów informacji publicznej źródło cennych wskazówek, jak interpretować poszczególne przepisy i pojęcia, którymi posługuje się w tych przepisach ustawodawca. Pomocne wskazówki znaleźć można się też w odpowiedzi na pytanie: Jakie informacje o pracownikach można udostępnić jako informację publiczną?, dostępnej na naszej stronie internetowej w zakładce Inspektor Ochrony Danych/Zadania pod linkiem:
https://uodo.gov.pl/pl/225/1484, w której również odwołujemy się do orzecznictwa.
Warto też zauważyć, że niektóre informacje nie powinny być ujawniane osobom postronnym. Na przykład ze względu na treść art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Takie podejście zaprezentowane zostało w odniesieniu do udostępnienia na podstawie ustawy o dostępie do informacji publicznej rejestru czynności przetwarzania w wyroku WSA w Łodzi z 12.02.2019 r., II SAB/Łd 181/18, LEX nr 2627177. W wyroku tym wskazał na cel obowiązku prowadzenia rejestru, na zakres zamieszczanych w nim informacji oraz wewnętrzny charakter tych informacji. Sąd doszedł do przekonania, że rejestry czynności przetwarzania oraz rejestry kategorii przetwarzania nie stanowią informacji publicznej. Warto zapoznać się z uzasadnieniem tego wyroku.
Nadmienić można również, że aspekt poufności informacji dotyczących zabezpieczeń danych osobowych (m.in. w związku z prawem dostępu do informacji publicznej) był podkreślany przez organ do spraw ochrony danych osobowych (wtedy funkcjonujący pod nazwą GIODO) w związku z zawartością – opracowywanej na podstawie poprzednio obowiązujących przepisów o ochronie danych osobowych – Polityki bezpieczeństwa.
Dokument ten zawierał między innymi wykaz zabezpieczeń fizycznych i technicznych, miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Jego udostępnianie osobom postronnym mogłoby osłabiać skuteczność stosowanych przez administratora środków bezpieczeństwa danych i zagrażać właściwej ochronie danych osobowych. Na archiwalnej stronie GIODO w materiale pt. Nie wolno ujawniać dokumentacji związanej z zabezpieczaniem informacji i danych osobowych (pod następującym linkiem: https://archiwum.giodo.gov.pl/pl/222/9906) wskazano, że przypadki żądania udostępnienia Polityki bezpieczeństwa na podstawie ustawy o dostępie do informacji publicznej były przedmiotem orzeczeń sądów administracyjnych. W wyroku z 8 grudnia 2005 r. (sygn. akt II SA/WA 1539/05, publik. LexPolonica, „Rzeczpospolita” 2005, nr 289, s. C5.),
Wojewódzki Sąd Administracyjny w Warszawie wskazał, że biorąc pod uwagę wymaganą przepisami prawa zawartość polityki bezpieczeństwa nie powinna być ona udostępniana publicznie. W ocenie WSA, elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu, zgodnie z art. 5 ust. 1 ustawy o dostępie do informacji publicznej. W wyroku z 26 października 2015 r. (sygn. akt II SA/Wa 1135/15) w odniesieniu do innego wniosku o udostępnienie informacji publicznej Sąd wskazał, że „dokument Polityka Bezpieczeństwa Systemu Informatycznego PESEL-SAD wersja […] podlega szczególnej ochronie, jako że jego ujawnienie może mieć szkodliwy wpływ na wykonywanie zadań m.in. w zakresie właśnie bezpieczeństwa publicznego, czy wymiaru sprawiedliwości. (…) nieuprawniony dostęp do żądanego dokumentu, mógłby nieść ze sobą zagrożenie dla praw i wolności obywateli, ich bowiem dane osobowe w tym systemie, którego dotyczy dokument, są przetwarzane w ramach wykonywania ustawowych zadań”.
W Wyroku NSA z 10 stycznia 2014 r. (I OSK 2254/13, LEX nr 1456983) sąd wskazał, iż „(…) udostępnianie informacji technicznych np. wskazujących na częstotliwość logowania się do danego narzędzia, czy przedstawiających okresy aktywności lub zmniejszonej aktywności w systemie teleinformatycznym organu, może prowadzić do ujawnienia danych mających istotny wpływ np. na bezpieczeństwo danego narzędzia informatycznego (okresy kiedy będzie mniej lub bardziej podatne na ataki). Z tego powodu dane takie, mające w zasadzie charakter techniczny, nie będą stanowić informacji publicznej. Zastrzec należy jednakże, iż granica tego rodzaju ocen jest bardzo płynna. Informacje z pozoru techniczne mogą bowiem służyć realizacji celów przewidzianych w ustawie o dostępie do informacji publicznej. Ocena w tym zakresie, z uwagi na niedookreślony charakter tego czy mamy do czynienia z informacją ze sfery technicznej, czy też informacją już spełniającą cechy informacji publicznej, może zatem przysparzać znacznych trudności. W związku z tym niezmiernie ważne – zdaniem NSA – jest każdorazowe, indywidualne i uwzględniające konkretne okoliczności sprawy, analizowanie zgłoszonego żądania udostępnienia danych, które z pozoru mogą mieć charakter techniczny. Zaznaczyć przy tym należy, iż samo wytwarzanie danych w procesie zautomatyzowanym (np. przez tworzenie plików dziennika logowań) nie przesądza jeszcze samo przez się, iż mamy do czynienia z informacją techniczną, nie mającą cech informacji publicznej. Pomocne przy ocenie tego rodzaju żądania może być funkcjonalne spojrzenie na żądaną informację. W jednym bowiem przypadku dane tworzone automatycznie będą miały bez wątpienia cechy informacji technicznej np. gdy zapytanie będzie dotyczyć samego procesu gromadzenia danych przez konkretne narzędzie (w jaki sposób to następuje).
W innym przypadku zapytanie może dotyczyć danych co prawda wytwarzanych automatycznie, jednakże dotyczących już sfery działalności publicznej organu.”
Ponadto informuję, że wskazówki pomocne w ocenie przedstawionego przez Pana zagadnienia znaleźć można również w materiałach publikowanych na stronie Urzędu Ochrony Danych Osobowych. Polecam Pana uwadze np. komunikat zamieszczony na stronie archiwalnej GIODO: GIODO zaleca zachowanie ostrożności w kontaktach z Fundacją Promocji Bezpieczeństwa (link: https://archiwum.giodo.gov.pl/259/id_art/9929/j/pl) oraz odpowiedzi na pytania opublikowane na stronie UODO w zakładce/IOD: Czy rejestr czynności prowadzony na podstawie art. 30 ust. 1 RODO musi być udostępniany publicznie?, Jakie informacje o pracownikach można udostępnić jako informację publiczną oraz Jakie dokumenty i przez jaki okres powinny być publikowane w BIP?
URZĄD OCHRONY
DANYCH OSOBOWYCH
Departament
Orzecznictwa i Legislacji
Wydział Współpracy
z Inspektorami Ochrony Danych
