STAN PRAWNY NA 29 MARCA 2019 Czy należy udostępnić informacje dotyczące polityki bezpieczeństwa i rejestru czynności przetwarzania? Opracował: Roman Lorens, konsultant ds. organizacji i zarządzania oświatą, ekspert ds. awansu zawodowego nauczycieli, były długoletni dyrektor szkoły. Lider i koordynator doskonalenia zawodowego nauczycieli i kadry kierowniczej szkół. Autor licznych artykułów z zakresu zarządzania oświatą i publikacji książkowych Podstawa prawna: • Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2018 r. poz. 1330 ze zm.), • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119 poz. 1). Wielu dyrektorów szkół otrzymuje od pewnego czasu identycznej treści wiadomość, w której osoba domaga się udostępnienia danych na podstawie Ustawy o dostępie do informacji publicznej: „Wniosek o udostępnienie informacji publicznej Na podstawie art. 2 i 10 Ustawy z dnia 6 września 2001 o dostępie do informacji publicznej wnoszę o udostępnienie informacji publicznej w następującym zakresie RODO – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119, poz. 1): 1. Proszę o udostępnienie polityki bezpieczeństwa (w wersji elektronicznej np. w formacie PDF), 2. Proszę o udostępnienie rejestru czynności przetwarzania danych osobowych prowadzonego w jednostce (w wersji elektronicznej np. w formacie PDF). Jednocześnie pragnę zwrócić uwagę, iż zgodnie z art. 1 ust. 1 Ustawy o dostępie do informacji publicznej każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu Ustawy i podlega udostępnieniu w trybie i na zasadach określonych w Ustawie. Będzie to zatem informacja o działalności organów władz publicznych i innych podmiotów wykonujących zadania publiczne, w tym podmiotów oświatowych. Na podstawie ww. Ustawy nie można żądać od wnioskodawcy wykazania interesu prawnego lub faktycznego w jej uzyskaniu”. Czy obowiązkiem dyrektora szkoły jest udostępnienie powyższych danych? Biorąc pod uwagę określony stan faktyczny i prawny o udostępnieniu bądź odmowie udostępnienia informacji na podstawie wniosku o dostęp do informacji publicznej rozstrzyga podmiot będący dysponentem tych informacji. Jego decyzja podlega z kolei weryfikacji przez sąd administracyjny. Rzecznik UODO informuje, że „już wcześniej do organu ds. ochrony danych napływały sygnały dotyczące podobnych praktyk, jak opisane w pytaniu. W takich przypadkach urząd zalecał, aby przed udzieleniem odpowiedzi wnikliwie przeanalizować wszystkie przepisy dotyczące zarówno dostępu do informacji publicznej, jak i ochrony danych osobowych. Ze szczególną ostrożnością należy się odnieść do żądań dotyczących dokumentów, które zawierają informacje o stosowanych w danej organizacji zabezpieczeniach. Ujawnienie tych informacji osobom nieuprawionym może bowiem spowodować niebezpieczeństwo dla danych osobowych, za których właściwe zabezpieczenie odpowiedzialny jest administrator” . Należy także zauważyć, że kwestie te były omawiane w materiałach dostępnych na stronie internetowej organu ds. ochrony danych osobowych: wcześniej GIODO, obecnie Prezesa UODO . W kontekście omawianego zagadnienia warto wspomnieć również o Wyroku Wojewódzkiego Sądu Administracyjnego w Łodzi z dnia 12 lutego 2019 r. (sygn. akt II SAB/Łd 181/18). W wyroku tym Wojewódzki Sąd Administracyjny przyjął stanowisko, że rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania składają się na dokumentację o wewnętrznym i organizacyjnym charakterze i jako takie nie stanowią informacji publicznej. Przypadki żądania udostępnienia dokumentacji wymaganej przez przepisy o ochronie danych osobowych były już wcześniej przedmiotem orzeczeń sądów administracyjnych. Wprawdzie dotyczyły one nieobowiązującej już Ustawy o ochronie danych z 1997 r., ale zawierają cenne wskazówki, które mogą być pomocne w rozstrzyganiu opisywanej tu sytuacji. Warto odnotować, że w Wyroku z dnia 8 grudnia 2005 r. (sygn. akt II SA/WA 1539/05) Wojewódzki Sąd Administracyjny w Warszawie wskazał, że biorąc pod uwagę wymaganą przepisami prawa zawartość polityki bezpieczeństwa, nie powinna być ona udostępniana publicznie. W ocenie Wojewódzkiego Sądu Administracyjnego elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu zgodnie z art. 5 ust. 1 Ustawy o dostępie do informacji publicznej. Natomiast w Wyroku z dnia 26 października 2015 r. (sygn. akt II SA/Wa 1135/15) w odniesieniu do innego wniosku o udostępnienie informacji publicznej wskazano, że „dokument Polityka Bezpieczeństwa Systemu Informatycznego PESEL-SAD wersja (...) podlega szczególnej ochronie, jako że jego ujawnienie może mieć szkodliwy wpływ na wykonywanie zadań m.in. w zakresie właśnie bezpieczeństwa publicznego czy wymiaru sprawiedliwości. (…) nieuprawniony dostęp do żądanego dokumentu mógłby nieść ze sobą zagrożenie dla praw i wolności obywateli, ich bowiem dane osobowe w tym systemie, którego dotyczy dokument, są przetwarzane w ramach wykonywania ustawowych zadań”. Zapamiętaj! Uwzględniając powyższe ustalenia, udostępnieniu nie podlega polityka bezpieczeństwa i rejestr czynności przetwarzania.